視点
情報漏えい対策は十分か
2006/07/17 16:41
週刊BCN 2006年07月17日vol.1146掲載
個人情報保護法の義務に対してきちんと対応している、または、さらにJIS Q 15001規格に則ってプライバシーマーク(Pマーク)の認定を受けている、したがって十分対応していると安心している経営者も多いと思われる。
個人情報保護法もPマークのJIS Q 15001規格も、OECD(経済協力開発機構)プライバシー・ガイドライン8原則に沿って、(1)利用目的を明確にする(2)適法で適正な手段で取得する(3)目的外の利用をしない(4)データを完全で最新の状態に保つ(5)データを安全に保護する(6)個人情報の取り扱いを公開する(7)個人情報の開示・訂正等の要求に応じる(8)個人情報の管理責任者を明確にする──の実施を求めている。
8原則のうち「利用目的、取り扱う個人情報の公表、開示・訂正対応、管理者の明確化」は外形上から実施していることが確認できる。また「適正な手段での取得、目的外利用防止、データを完全で最新の状態に保つ」は、社内規定や業務手順書などによってルール化がされているかどうかで確認できる。しかし「データを安全に保護する」については、社内規定や業務手順書などで定めたルールの存在は確認できたとしても、それで本当に安全なのかは確認できない。
JIS Q 15001では、安全管理措置として「個人情報の取り扱いの各局面におけるリスクを認識し、分析し、必要で適切な措置を講じなければならない」と定めている。
したがって、「リスク認識」のための“リスクアセスメント”および「必要で適切な措置を講じる」ための“管理策の選択”が適切であるかが問われる。
“リスクアセスメント”では、脅威とぜい弱性をいかに漏れなく想定したかが重要である。漏えいしてから「想定外でした」と弁解することのないようにすべきだ。“管理策の選択”では、リスクを低減できる有効な管理策(複数)を選択できたかが重要である。ISMS(情報セキュリティマネジメントシステム)のJIS Q 27002規格で推奨されている133の管理策を網羅的に検討することが、漏れのない対策の要といえる。
さて、経営者の皆さん、社内が十分な“安全管理措置”になっているかどうかを一度見直してはいかがでしょうか。
- 1