前回は、「プライバシーマーク」(Pマーク)取得に向けた第一歩として、「計画」と「現状把握」の個人情報の調査について解説しました。今回は、セキュリティ対応状況の調査「リスク分析」について解説していきます。
「個人情報の保護に関する法律」(個人情報保護法)には、「リスク」という記述がありません。
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
しかし、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、個人情報保護法第20条に関するリスクについての記述があります。
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない(中略)。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。
また、「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)に以下のような記述があります。
4.3 計画
4.3.1 個人情報の特定
事業者は、自ら保有するすべての個人情報を特定するための手順を確立し、維持しなければならない。事業者は、特定した個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を認識しなければならない。
さて、たびたび出てくる「必要かつ適切な措置」というフレーズですが、具体的にはどういうものが挙げられるのでしょうか。経済産業省のガイドラインによると以下のようになっています。
組織的安全管理措置 | ・個人データの安全管理措置を講じるための組織体制の整備 ・個人データの安全管理措置を定める規程等の整備と規程等に従った運用 ・個人データの取扱い状況を一覧できる手段の整備 ・個人データの安全管理措置の評価、見直し及び改善 ・事故又は違反への対処 |
---|---|
人的安全管理措置 | ・雇用契約時及び委託契約時における非開示契約の締結 ・従業者に対する教育・訓練の実施 |
物理的安全管理措置 | ・入退館(室)管理の実施 ・盗難等の防止 ・機器・装置等の物理的な保護 |
技術的安全管理措置 | ・個人データへのアクセスにおける識別と認証 ・個人データへのアクセス制御 ・個人データへのアクセス権限の管理 ・個人データのアクセスの記録 ・個人データを取り扱う情報システムについての不正ソフトウェア対策 ・個人データの移送・送信時の対策 ・個人データを取り扱う情報システムの動作確認時の対策 ・個人データを取り扱う情報システムの監視 |
また、JIS Q 15001においては「合理的な安全対策」が求められています。
4.4.4.2 個人情報の利用の安全性の確保
個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)に対して、合理的な安全対策を講じなければならない。
つまり、プライバシーマーク取得に向けて、企業は自社が保有している個人データに関して、どのようなリスクがあるかということを把握し、どのような対策を取っているのかということが審査の重要なポイントになります。
これは、日本情報処理開発協会(JIPDEC)発行の「プライバシーマーク制度における監査ガイドライン」において、以下のように解説されています。
個人情報を保護するためには、対象となる個人情報を具体的に把握するための手順を確立し、維持するとともに、適正な保護措置を講じない場合のリスクと影響を認識しなければならない。影響には、事業者に直接的に与える影響のほか、社会的信用の喪失など間接的な影響もあることを認識する必要がある。
このようにプライバシーマークの審査員に対して、リスクの把握とその対策を講じていることをきちんと説明できることが求められます。
Copyright © ITmedia, Inc. All Rights Reserved.