ドクターQがお届けするIT統制ブログ　ITサプリ

"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。今回は個人情報保護法が定める"個人情報"に関するおさらいです。

　各企業がセキュリティ対策を行なう理由のひとつは「個人情報保護法」の完全施行です。

「個人情報保護法」が作られた背景には、国際機関において個人情報保護に関する勧告や指令が採択され、日本も「十分なレベルの保護措置」が必要になったことや、国内的な背景として、IT社会の発展による個人情報の利用拡大、それに伴う情報漏えい事件の多発、さらに「住民基本台帳ネットワークシステム」の実現による個人情報についての法整備の必要性が生じたことなどがあげられます。

「個人情報保護法」においては、個人情報を次のように定義しています。

「第二条　この法律において"個人情報"とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）」

　つまり"生存する個人に関する情報"全体が"個人情報"として扱われることになります。これには、顧客情報のみならず、企業の従業員情報なども含まれます。また、死者に関する情報が遺族の生存する個人に関する情報でもある場合、生存する個人に関する"個人情報"となります。

　"特定の個人を識別できるもの"とも定義されているため、氏名・住所はもとより、個人の身体、財産、職種、肩書きなどの属性や、免許証番号やクレジットカード番号も含まれます。さらに「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、「評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ」とあります。つまり、防犯カメラなどの映像情報や筆跡、音声なども"個人情報"となります。

「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」

という補足により、データそのものは個人情報ではなくても、照合することで個人が特定できるデータに関しては、個人情報と考える必要があります。つまり、かなり幅広い情報が"個人情報"として定義されているのです。

　なお「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、電話会社から提供された電話帳や、市販の電話帳CD-ROMなどに掲載されている氏名及び電話番号、カーナビゲーションシステムなどのナビゲーションシステムに格納されている氏名、住所などのデータなどは"特定の個人の数に参入しない事例として挙げられています。

いかがでしょう。日々、統制活動を行なっている方はご存知だとは思いますが、"個人情報の範囲"があいまいだった方もいらっしゃるのではないでしょうか？　個人情報の定義を再確認し、御社の個人情報管理における統制活動にお役立てください。

■バックナンバー
情報セキュリティの現状～会社の情報資産は本当に守られているか・後編～
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_0340.html

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。連載2回目は前回の「～会社の情報資産は本当に守られているか～」の後編です。

　セキュリティ対策を行なっている企業から、なぜ情報漏えい事件が発生するのでしょうか。その原因のひとつは、急場しのぎで作成した社内規則や個人情報の取り扱いルールが、会社全体に浸透していないことが挙げられます。また、情報漏えい対策を目的としたツールに過度な期待を抱き、そのツールを使う人間そのものに注意を払わなかったという点もあるでしょう。当然のことながら、セキュリティツールを導入しただけでは、情報漏えい事件・事故はなくならないのです。

　実際、各企業におけるセキュリティ対策の内容は、状況にあわせて変化しています。昨年まで、セキュリティ関連への投資は、不正な攻撃やウイルス対策といった「外部からの脅威」に対して行なわれてきました。それが今年になって、「社員からの情報漏えい対策」、「個人情報保護法への対策」、「セキュリティ教育やセキュリティポリシーの策定」といった、「内部」のセキュリティを高める方向へと投資ニーズが変化しています。
　つまり、「どの部分を防げばいよいか」という点は各企業とも理解できているのです。しかし「どう防げばよいか」という具体策に関しては、まだ五里霧中のようです。

　多くのセキュリティソリューションが存在するなか、それぞれのソリューションの概略や特長、自社の実態に適合するのか否かなどをひとつひとつ選定していくことは、もはや不可能な状態になりつつあります。実際、セキュリティソリューションの導入を検討している企業のなかには、「なにを選択し、どのように対応すればよいかわからない」という状況に陥っているところもあるでしょう。

　「自社に必要な対策は何か」、「セキュリティリスクはどこにあるのか」といった現状認識の前に、「とりあえず」情報漏えい対策を導入した企業も多く存在しますが、これらの企業は「情報漏えい」という課題に対して、いまだ適切な答えを見つけていません。そういった企業にとって重要なのは、まずセキュリティ対策を全社的に行ない、セキュリティマネジメントとして、取り組むことではないでしょうか。

■バックナンバー
情報セキュリティの現状～会社の情報資産は本当に守られているか～・前編
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_2804.html

　生産性や業務効率の向上を目指し、各企業においてIT投資が盛んに行なわれています。オフィスのIT化により、企業が保有する情報資産価値は日を追うごとに高まっていますが、その一方で、企業が蓄積している膨大な機密情報に外部からアクセスされる危険性も高まっていると言えるでしょう。

　改めて言うまでもなく、企業にとって機密情報や個人情報を含んだデータの漏えいは命取りです。価格比較サイトやカード会社からスパイウェアなどを介して情報が漏えいし、ユーザー／企業共に被害が発生した個人情報流出事件は、今も記憶に新しいものです。これら情報漏えい事件によってブランドやイメージに傷がつき、再起不能となる企業も見られました。

　これまで「セキュリティ」といえば、ウイルス対策や不正アクセス、ファイアウォールなどの「外部からの脅威」に対して身を守るという意味合いが強かったのですが、現在のセキュリティニーズは「情報漏えい対策」に移行しています。もちろん現在も不正アクセスやスパイウェア、トロイの木馬、ボットネットワークなどの脅威は存在しています。しかしそれ以上に「情報漏えい」に対する脅威が高まっています。

　情報漏えい事件・事故に関しては、「外部」だけでなく「内部」、つまり「社員」そのものがリスクとなりえます。一般に、情報漏えい事件の8割が内部からの情報漏えいと言われていて、大手プロバイダーや大規模企業などの個人情報流出事件が続いていますが、これも調査結果によると内部からの情報漏えいによるものでした。
　情報流出事件が発生したとき、ID管理やPCの操作ログなどが残っていなければ、犯行者の特定どころか、どの情報が流出したのかすらわかりません。つまり、犯人や犯行を特定しにくいという環境が、内部犯罪を生み出していると言えるでしょう。また情報漏えいは、本人の自覚がないまま事件を誘発してしまうというケースもあります。機密情報が保存されているノートパソコンやUSBフラッシュメモリーの盗難・紛失などがそれです。

　このように、企業として守るべき機密情報は、常に危険にさらされています。しかも、その危険を回避する術は、まだ十分に浸透していません。実際、セキュリティの重要さが強調され、個人情報保護法が施行された現在でも、情報漏えいの事件・事故が後を絶ちません。情報漏えい事件・事故を引き起こした企業も、情報漏えいの危険性は十分認知しており、そのための対策も行なっていたと聞きます。それにもかかわらず、情報漏えい事件は毎日のように起こっています。

　ではなぜセキュリティ対策を行っている企業が情報漏えい事件を起こすのか？
次回はその点についてお話します。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第19回目です。

さて、今回は個人情報の廃棄における統制活動に関して解説しましょう。

多くの企業のWebサイトで公開されている、個人情報保護方針。個人情報の安全保護についての部分には、「個人情報の保存・管理および廃棄ルールを徹底することで、個人情報の盗難、紛失、破壊、改ざん、漏洩についての予防措置を講じます。」という画一的な表記が目立ちます。しかし、本当に廃棄ルールが徹底されているでしょうか。
実際に、個人情報の廃棄の段階にも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の廃棄におけるリスク

具体的に、2つのリスクが想定できます。
●不適切な廃棄方法によって個人情報が漏洩するリスク
●定期的な廃棄をしなかったため大量の情報が保有され、結果的に大量の個人情報が漏洩するリスク

いずれも個人情報保護法違反となる可能性があります。最近では個人情報漏洩をきっかけに、株価を大きく下げてしまう上場企業も少なくありません。企業のブランドイメージ保護の観点からも、しっかりとした統制活動が不可欠でしょう。

■個人情報の廃棄における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：廃棄に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
●個人情報の廃棄タイミングを設定する
　※取得後、一律3年で廃棄する
　※1年以上利用されていない個人情報は廃棄する
●記録媒体別に廃棄方法を設定する
　（特にデータに対しては、物理的な破壊を行うことが必須）
　※紙の資料（シュレッダー処理を行う）
　※CD・フロッピーディスク・ハードディスク（データ消去プログラムで固定データによる塗潰し消去を2回行う、など）

2：廃棄記録の作成・保管

取得から一定期間が経過した個人情報が廃棄されたのか、あるいはまだ社内に保管されているのか、状況を常時正確に把握できるように、廃棄記録を作成することが重要です。廃棄記録には、項目として最低でも下記の5つの情報を記録することが要求されます。

◎廃棄者名
◎廃棄期日
◎廃棄情報名(ファイル名)
◎廃棄方法
◎責任者認証

3：管理者による定期的な確認作業

実際に個人情報を保有している各部署の責任者が、個人情報の廃棄における社内ルール遵守状況を定期的に確認することも非常に重要です。

◎設定された時期に廃棄が行われているか
◎書類、メディアなどが社内ルールに則った方法で廃棄されているか
◎廃棄記録は適切に作成されているか　など

いかがでしょう。
4回にわたって、個人情報管理における統制活動に関して具体的に解説してきました。
このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備しながら、ぜひ強固な内部統制を確立してください。
Dr.QがITサプリをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。