現在地 HOME > 国家破産39 > 703.html
★阿修羅♪
|
現在地 HOME > 国家破産39 > 703.html
★阿修羅♪
|
|
(回答先: 個人情報保護対策の想定問答集 (ITmedia ニュース) 投稿者 愚民党 日時 2005 年 3 月 23 日 03:35:40)
企業の実践対策「個人情報保護」特集
特集
2005/02/24 08:00 更新
個人情報が流出 有事のときの危機管理
第1回 事故前提のリスクマネジメントの必要性
丸山満彦
http://www.itmedia.co.jp/enterprise/articles/0502/24/news005.html
個人情報保護対策を行うことは必須だが、万が一の事態を想定する必要がある。本シリーズでは、個人情報の流出という有事に対し、企業が備えておくべきこと、事後対応をどうすべきかを紹介する。まずは事故前提のリスクマネジメントがなぜ重要か、知っておこう。
個人情報漏えいについての報道が相次いでいる。ほぼ毎日1件か2件のペースで報道されているのではないだろうか。しかし、報道されているほど実際の漏えい事件が過去に比べて、増えたわけではないと思われる。今まで、漏えいの事実に気づかなかったか、あるいわ気づいても報道発表されていなかった事件・事故がここにきて報道されているのではないだろうか。
個人情報保護法の全面施行に伴い、今後、個人情報漏えいなどが発生した場合はその事後の対応が非常に重要となる。そこで今回から4回にわたって、漏えい事故への対応のポイントを解説する。
個人情報漏えいの事例
個人情報漏えい事例について、過去の記憶をたどると次のような事件が思い出される。
-------------------------------------------
主な個人情報漏えい事例
業種 発覚時期 概要 漏えい件数
自治体 1999年5月 委託先のシステム開発業者から住民データが漏えい。約26万円で販売 約21万人
コンビニエンス
ストアー 2003年8月 ローソン会員情報(氏名、住所、性別、生年月日、電話番号ほか)が漏えい 約56万人
信用販売会社 2004年1月 約32万人の顧客データの流出。調査専門会社が調査した結果、ホストコンピュータや外部からのアクセスによる情報流出の可能性は低いと判断。サーバデータ抽出ツールによる情報系、キャッシング系からの情報流出の可能性が高いと判明したが、真相は分からなかった 約32万人
電気通信事業者 2004年2月 全顧客の情報が漏えい。漏えいした情報を使って会社を恐喝した男が逮捕された 約660万人
通信販売会社 2004年3月 名前や性別、住所、電話番号、生年月日、年齢が記載された顧客情報が漏えい(九州、山口、東京、大阪など)。内部者による漏えい 約60万人
石油会社 2004年4月 会員情報の一部が流出。架空請求が会員に届いたため、調査を行ったところ住所などの誤記がそのままであったことから漏えいが判明した 約220万人
旅行会社 2004年6月 内部者による漏えい事件。顧客の氏名、住所、電話番号、生年月日、職種などの情報が漏えいした 約62万人
----------------------------------------
上記は被害が甚大な主立った事件であるが、大部分の漏えい事件は書類の紛失、ノートPCの紛失、FAX・メールの誤送信といったことが原因で、漏えいした件数も100件程度の場合もある。ノートPCの紛失であれば、通常の方法では情報にアクセスできないような対策を実施しているケースも多く、実際には被害につながっていない場合も多いと考えられる。
しかし、今後、個人情報の漏えいが生じた際には公表を行うことが定着すると、漏えい事件のたびに公表を余儀なくされ、企業のブランド、評判に傷がつくことにを留意しなければならない。つまり、漏えいしないようにする防止策のみならず、漏えいした時にいかに損害を少なくするのかが重要となってくる。これには、事故対応の善し悪しが重要であり、そのためには事前の準備から漏えい時の対応まで幅広い対策が必要となる。
漏えい時対策の基本的な考え方
漏えい時の対策を考える際には、リスクマネジメントの考え方を援用することが有益である。リスクマネジメントには、下記の2つの視点で考えることが重要である。
1、漏えいが発生しないように、または発生してもその損害が少なくなるように事前に実施する対策
2、漏えいしてからの対応と、そのための準備対策
前者の対策例としては、「業務上必要最低限の者に必要なアクセス権限を与える」「データベースを分割することにより万が一の事故が起こっても被害を少なくする」という対策などがある。後者の対策が、事故・事件対応と呼ばれるものであり、クライシスマネジメントとも呼ばれている。
図1■リスクマネジメントの全体像
図2■リスクマネジメントとクライシスマネジメントの特徴
クライシスマネジメントを考える時のポイントは、事故が起こった場合の損害が大きいリスクに対しては、発生の可能性の大小にかかわらず事前の準備と事故後の対応を定めておくことである。このポイントの詳細については、次回、詳しく説明することとして、まずは個人情報保護法の各省庁ガイドラインについて見ていくことにする。
法及および各府省庁ガイドラインの施行に伴うポイント
個人情報保護法が施行される2005年4月1日以降は、個人情報の漏えいなどの事故事案について、別途対策が必要となることを忘れてはならない。それは、主務大臣への報告など、事故発生時の対応が明確に必要となることである。確かに、個人情報保護法では、漏えいなどの事故が起こった場合、明確な対応の規定はない。しかし、「個人情報の保護に関する基本方針」(2004年4月2日閣議決定)では、次のような記載がある。
----------------------------------------------------------------
政府基本方針
省庁 ガイドライン名 記載内容
経済産業省 経済産業分野
※1 【組織的安全管理措置として講じなければならない事項】
(省略)
(5)事故又は違反への対処
(省略)
(5)事故又は違反への対処をする上で望まれる事項
・事実関係、再発防止策等の公表
・その他、以下の項目等の実施
ア)事実調査、
イ)影響範囲の特定、
ウ)影響を受ける可能性のある本人及び主務大臣等への報告、
エ)原因の究明、
オ)再発防止策の検討・実施
総務省 電気通信
事業分野
※2 (漏えい等が発生した場合の対応)
第22条 電気通信事業者は、個人情報の漏えいが発生した場合は、速やかに、当該漏えいに係る事実関係を本人に通知するものとする。
2 電気通信事業者は、個人情報の漏えい等が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り、当該漏えい等に係る事実関係その他の二次被害の防止、類似事案の発生回避等に有用な情報を公表するものとする。
3 電気通信事業者は、個人情報の漏えい等が発生した場合は、当該漏えい等に係る事実関係を総務省に直ちに報告するものとする。
金融庁金融分野※3第22条 漏えい事案等への対応(基本方針関連)
1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、監督当局に直ちに報告することとする。
2 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、漏えい事案等の事実関係及び再発防止策等を早急に公表することとする。
3 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、漏えい事案等の対象となった本人に速やかに漏えい事案等の事実関係等の通知を行うこととする。
経済産業省 信用分野
※4 ■組織的安全管理措置
(10)与信事業者等は、自己の取り扱う個人データ(受託者が取り扱うものを含む。)の漏えいに係る二次被害の防止、類似事案の発生回避等の観点から以下のような適切な対処を行わなければならない。
・事実関係を本人に速やかに通知し又は本人が容易に知り得る状態に置くこと。
・可能な限り事実関係等を遅滞なく公表すること。
・事実関係、発生原因、対応策その他の漏えいに関する事項を可能な限り速やかに経済産業省に報告すること。
厚生労働省雇用管理指針※5(特になし。ただし、委託先との契約において以下の項目あり。)
四 法第二十二条に規定する委託先の監督に関する事項
(省略)
(二)委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
(省略)
(7) 委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
(8) 委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
------------------------------------------------------------------------
※1.「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月22日厚生労働省経済産業省告示第4号)/経済産業省
http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf
※2.「電気通信事業における個人情報保護に関するガイドライン」(2004年8月31日総務省告示第695号)/総務省
※3.「金融分野における個人情報の保護に関するガイドライン」(2004年12月6日金融庁告示第67号)/金融庁
http://www.fsa.go.jp/siryou/siryou/kj-hogo/01.pdf
※4.「経済産業分野のうち信用分野における個人情報保護ガイドライン」(2004年12月17日経済産業省告示第436号)/経済産業省
http://www.meti.go.jp/feedback/downloadfiles/i41202ij.pdf
<
※5.「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(2004年7月1日厚生労働省告示第259号)/厚生労働省
http://www.meti.go.jp/feedback/downloadfiles/i41202ij.pdf
事故が起こると今までは任意で事故内容を本人に通知し、また公表、行政機関に報告していたことが、このようなガイドラインに従った対応をしなければならなくなる。各企業において、それぞれに業務における所管省庁が定まっているため、自らの所管省庁のガイドラインを熟読し、対応を行わなければならない。
各省庁のガイドラインの策定状況については、内閣府のWebページ
(個人情報保護に係わる関係省庁の検討状況)
に掲載されているので、確認していただきたい。
ポイントは、報告する先が主務大臣、本人、社会と3つある点であり、それぞれの期待するものが異なるということである。つまり、この3つの利害関係者という報告先を意識した漏えい事件対応の枠組みを考える必要があるのだ。
次回は、漏えいに備えた社内体制の整備について詳しく考えていく。
------------------------------------------
丸山満彦(監査法人トーマツ)
公認会計士 シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務する。
---------------------------------------------
関連記事
題名には必ず「阿修羅さんへ」と記述してください。