ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第18回目です。

今回は個人情報の保管に関する統制活動について解説しましょう。

個人情報の取得から利用・加工までのプロセスに関しては明確な社内規定が存在するものの、保管に関しては社内規定上も「適切な方法」といった曖昧な表現になる企業が目立つようです。

しかし、今後は個人情報が漏洩したり、滅失したりすることがないようにルールに則って厳密に保管することが求められます。また実際に、個人情報の保管段階にも、様々なリスクが存在しています。
それでは、個人情報の保管には具体的にどのようなリスクが存在して、どのような統制活動が必要なのか解説しましょう。

■個人情報の保管におけるリスク
具体的に、2つのリスクが想定できます。
●社員が不正に個人情報を持ち出すリスク
●外部からの不正アクセスによって個人情報が持ち出されるリスク

これら2つのリスク対策が不十分な企業で、個人情報漏洩が多発しています。個人情報漏洩は企業イメージを確実に悪化させます。いずれも重視すべきリスクです。

■個人情報の保管における統制活動

リスクを低減できる具体的な統制活動として、下記の3つが考えられます。

1：保管に関するルールの明確化

下記のような保管ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎個人情報ファイルは必ずパスワードを設定して保管する
◎個人情報ファイルを扱える担当者を限定する
◎個人のPCやデスクには個人情報を保管しない
◎バックアップCDなど、個人情報の入った外部記憶メディアは特定の担当者しか入室できない資料庫に保管する

2：IT統制

ルールに頼るだけでなく、次のようなIT統制もリスク軽減に有効です。また不正行為の抑止効果も期待できます。

◎ファイルアクセス制御(ファイル自体に有効期限を持たせる、メールに添付できない機能を持たせる)
◎ファイル暗号化(ファイル自体を暗号化し、第三者に渡った場合も閲覧できないようにする)
◎アクセスログ取得(個人情報のファイルに対して、いつ、誰がアクセスしたのかを自動的に記録する)
◎個人情報ファイル探査(社員のPC内に、個人情報のファイルが不適切に存在していないかチェックする)

3：職務の分離化

担当者(管理者)を2人置き、職務を分離させることで、お互いの業務への客観的なチェックが可能になり、個人情報が不正に持ち出されるリスクを軽減できます。

◎個人情報利用部門担当者(例：営業部)
◎個人情報保管部門担当者(例：情報システム部)

4：管理者による定期的な確認作業

上記2人の担当者が、個人情報の保管に関する社内ルール遵守状況を定期的に確認することが重要です。

◎認定者以外が個人情報に不正アクセスしていないか
◎社員のPCなどに個人情報が不適切に保管されていないか

いかがでしょう
このような統制活動を実施することで、個人情報の保管に関わるリスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備しながら、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の廃棄における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第17回目です。

さて、今回は個人情報の利用と加工における統制活動に関して解説しましょう。

ホームページやフィードバックハガキによって集められた個人情報は、性別や年齢別に分類したり、居住地で絞り込んだりしながら、マーケティング活動や販促活動の有効なソースに変移します。こうしたプロセスを、個人情報の利用と加工と位置づけます。ここで重要なポイントはふたつ。企業は、取得した個人情報を取得時に通知した利用目的以外に利用できません。また、本人の同意なく第三者へ情報を提供することもできません。
個人情報を利用して加工する段階でも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の利用と加工におけるリスク

大きく分けて、下記の3つのリスクが想定できます。
◎取得時に通知してない目的で利用してしまうリスク
◎本人の同意を得ずに、個人情報を第三者へと提供してしまうリスク
◎利用・加工段階の不適切な取扱いによって個人情報が漏洩してしまうリスク

いずれも個人情報保護法に抵触する恐れがあります。ケースによっては、カード偽造などの犯罪へと発展する可能性もあり、企業の信頼性維持の面からも非常に重視すべきリスクと言えます。

■個人情報の利用と加工における統制活動

前述のようなリスクを軽減させる具体的な統制活動は下記の4つがあります。

1：利用および加工に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎取得時に通知してない目的での利用禁止(二次利用禁止)
◎個人情報を社外に持ち出す際の許可手続

2：IT統制

ルールに頼るだけでなく、つぎのようなIT統制もリスク軽減で有効的です。

◎不正アクセス対策（個人情報のファイル自体にアクセス制御を施し、仮にデータが第三者に渡った場合もファイルを閲覧できないシステムの構築）
◎受け渡し対策（個人情報受け渡し専用の暗号化などを施した安全性の高いシステムの構築）
◎P2Pソフト(ファイル交換ソフト)対策（WinnyなどのP2PソフトがインストールされたクライアントPCでは、個人情報が受け取れない仕組みを持ったシステムの構築）
◎データ持ち出し対策（CD-Rやフラッシュメモリなどの外部記憶デバイスを使って社外にデータを持ち出させないシステムの構築）

3：確認用フローチャートの確立

個人情報が、いつ、だれによって、どのように利用され、また加工されているかを確認することも重要です。対策例として、確認用のフローチャートを作成し、作業記録を保管するなどの手法が考えられます。
フローチャートには、項目には最低でも下記の5つを含めることが要求されるでしょう。

◎利用者名
◎利用期日
◎利用目的(加工目的)
◎利用後(加工後)の保管体制
◎責任者認証

4：管理者による定期的な確認作業

個人情報の利用と加工に関わる各部署の責任者が、個人情報の利用と加工における社内ルール遵守状況を定期的に確認します。

いかがでしょう
このような統制活動を実施することで、リスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の保管における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

7月12日から7月14日までの3日間、東京ビックサイトにて「第10回自治体総合フェア2006」が開催されます。
（※ご入場は無料ですが、Webまたは会場にて登録のお手続きが必要です。時間は午前10時～午後5時まで）

「第10回自治体総合フェア2006」は、"～公民協働でつくる安心な社会～"というテーマの元、自治体関係者はもちろん、企業・民間団体が集い、それぞれの相互交流によって自治体が抱える課題の解決を探る場として毎年開催されているイベントです。

このイベントにクオリティも参加しています。会場では日本版SOX法・内部統制に対応する各ソリューションの紹介を行なっているほか、企業はもちろん各自治体でも関心の高いセキュリティ監査に関する簡単なアンケートをプレゼントと引き換えで行なっています。ご来場の際にはぜひとも当社ブースにお立ち寄りください。

また7月14日の14時20分から、「会社法と日本版SOX法により情報システムはどのように対応すべきか」というテーマのセミナーを会場の"自治体総合フェアセミナーB会場（東3ホール内）"にて開催します。会場におこしの際には、こちらのセミナーにもぜひご参加ください。

■イベントリンク

第10回自治体総合フェア2006

東京ビックサイト：会場交通案内

内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第16回目です。

さて、今回は個人情報取得における統制活動に関してです。

企業のマーケティング活動や販促活動にとって、個人情報の取得は非常に重要です。しかし一方で、個人情報保護法を遵守することも不可欠です。コンプライアンスの観点から、個人情報の取得にあたっては、その利用目的をクリアにすることが要求されます。例えばIT系企業にとって、メールマガジンの会員登録と、セミナーやイベント情報を告知するダイレクトメールの発送は全く別の目的です。登録時に通知することなく、ダイレクトメールを勝手に送付できません。
個人情報取得の段階でも、様々なリスクが存在しています。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報取得におけるリスク
大きく分けて、下記の3つのリスクが想定できます。
◎利用目的を未通知で取得してしまうリスク
◎間違った利用目的を通知して取得してしまうリスク
◎不適切な方法で取得してしまうリスク

■個人情報の取得における統制活動
前述のようなリスクを軽減させる統制活動として、具体的に下記の4つをあげることができます。

1：取得ルールの明確化
取得にあたって、下記のように方針や手続きを明確にし、全社員へ教育を徹底する必要があります。
●全社統一のプライバシーポリシー(個人情報の取り扱いに関する基準・方針)を明文化する
●個人情報を新規に獲得する場合は利用目的や通知内容に関して、法務セクションなどの管理部門に対して必ず事前確認を行う
●個人情報の取得状況を安全性の高いデータベースで管理する
●社内での個人情報の利用状況と利用目的の通知内容を定期的に見直す

2：登録者への通知を徹底でき、かつ安全性の高いホームページ構築
現在では、ホームページ経由で個人情報を登録するケースが大半です。個人情報を取得するためには、登録前に必ず自社のプライバシーポリシーを通知することはもちろん、つねにプライバシーポリシーを閲覧できるようにホームページを構成する必要があります。合わせて、SSLの導入といった安全性を確保することも重要です。プライバシーポリシーには、具体的に下記の内容が網羅されていることが望ましいと思われます。

※個人情報保護方針
※個人情報の利用目的について
※個人情報の外部委託先への開示について
※個人情報の第三者提供について
※開示等の求めに応じる手続き等
※個人情報に関するお問い合わせ窓口
※クッキー(Cookie)について
※SSLについて
※お客様のアクセスログ・履歴情報について

3：職務の分離化
職務を分離させることでチェック機能の二重化が可能になり、リスクを軽減できます。
※個人情報の取得(例：営業部)
※利用目的の通知内容と通知方法に関する確認(例：法務部)

4：管理者による定期的な確認作業
営業部などの管理者が、個人情報の利用目的の通知状況を定期的に確認

このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の利用と加工における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第15回目です。

さて、今回から個人情報管理において必要とされる、具体的な統制活動に関して解説したいと思います。最近、「弊社はコンプライアンス実践を経営の最重要課題と位置づけています」という社長の言葉を、WebサイトのIRページに掲載する上場企業が数多く見受けられるようになりました。大変素晴らしいことです。企業としてコンプライアンス(法令遵守)を徹底することは、すべてのステークホルダーからの共感につながり、企業としての存在価値を総合的に高めることにもなります。

コンプライアンス実践において重要なパートを占めるのは個人情報管理です。個人情報が漏洩した場合、個人情報保護法違反によって事業者は「6ヵ月以下の懲役または30万円以下の罰金」が課せられます。刑事罰による罰金は30万円と小額ですが、500万件、1000万件と漏洩したデータ件数に比例して、情報漏洩被害者の損害賠償リスクは膨れ上がります。また実被害はなくても、企業のブランドイメージは当然傷つくでしょう。

個人情報管理の各プロセスにおける、リスクと統制活動をしっかり把握するために、関連ITツールの有効性と活用方法を一層詳しく把握していただきたいと思います。もちろん、現状の管理体制のウィークポイントもクリアにできます。

個人情報管理は、具体的に次の4 つのプロセスで構成されます。

1)個人情報の取得　→　2）個人情報の利用と加工　→　3）個人情報の保管　→4）個人情報の廃棄
それぞれのプロセスで様々なリスクが発生する可能性があります。
統制活動は、それらのリスクを低減させるために必要な対応策です。
次回から、各プロセスの統制活動を分かりやすく解説していきます。
ぜひ定期アクセスをよろしくお願いします。

さる6月7日、参議院本会議で金融商品取引法（日本版SOX法）が可決され、成立しました。一刻も早く、内部統制構築に着手してください。もちろん、Dr.Qもしっかりお手伝いします。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。