Database Watch 3月版 Page 2/2
SQL Server 2000に
低価格版が加わるらしい……
加山恵美
2005/3/16
■企業に課せられた情報を管理する責務
せっかくですから、もう少しまじめに現実の個人情報について考えてみましょう。最近では今年4月1日から施行される個人情報保護法が話題となっています。
個人情報保護法は正確には「個人情報の保護に関する法律」といい、2003年から施行されています。すでに施行されているのは第一章から三章までで、概要に当たる部分です。これから施行されるのは四章以降で、個人情報を持つ企業に課す義務や罰則が記された実効的な部分です。四章以降の施行をもって、この法律は本格的なカットオーバーになると考えてもいいでしょう。
法律の目的を端的にいうと、表題そのままですが個人の情報を保護することです。そのために法律は個人の情報を保有する企業に対して「きちんと管理するように」と責務を課しています。もし軽率に個人情報を扱えば、企業は責任を問われることになります。これから企業は合法な範囲で個人情報を扱っているか常に気を配らなくてはなりません。なぜ企業に責任を課すようになったのでしょうか。
その背景には、個人の情報が本人の知らないうちに頒布され、それによって本人に良くない影響が出てきたことが挙げられます。メールアドレスや住所などのささいな情報であっても、人に知られると悪用される個人情報がいろいろとあります。情報が流出することで発生する金銭的な被害や精神的な被害が深刻になってきました。個人の情報を軽々しく扱うことのないように、つまりプライバシーを保護することが重要な課題になってきました。
いやむしろ、これまでの社会がプライバシーを保護する感覚が希薄だったのかもしれません。昔は戸籍ですら「原則は公開」が建前で、昭和51年の法改正までは比較的自由に閲覧できたそうです。いまでも住民基本台帳は自治体に申請すれば台帳ごと閲覧できる制度があります。自治体により差異はありますが、おおよそ手数料は30分で1000円です。さすがにコピーや撮影は不可ですが、多くはダイレクトメール業者が台帳を書き写していて、これを問題視する声があります。
個人の氏名や住所は、企業の販売活動の一環であるダイレクトメールに使えます。時には売買の対象にもなります。悪質な売買をせず自社内で管理していたとしても、これまで企業にとって個人情報は「財産」のように見なされてきたと思えます。情報が利益をもたらすからです。そのため良心的な企業なら情報の本人に対して配慮をすることはあっても、法的に保護する責任まではあまりありませんでした。
また個人情報は形がないため、盗まれても罪を問いにくく厄介です。なぜなら、刑法の窃盗罪が適用されるのは有体物や物理的に管理できるものとされているからです。勝手に他人のコンセントに自分のパソコンのACアダプタを差し込めば電気を盗んだことにされますが、コンピュータにある情報を持ち出しても日本の刑法ではなかなか窃盗罪にはしにくい状況です。現実的には辛うじて不法侵入や不正アクセス禁止法違反などで対処していたりするようです。
さらにコンピュータから不当に得た個人情報を捜査するのはとても困難です。紙をコピーしただけなら筆跡やレイアウトなどから入手元を推測するヒントがありますが、電子的なデータでは加工してしまえばどこから入手したのかまったくつかめません。まさに「覆水盆に返らず」で、一度情報が流出してしまえばそれを追って食い止めるのは著しく困難です。
こうした背景もあり「個人情報を保有する側にしっかり管理してもらう」ことの必要性が高まりました。そこで個人情報保護法が登場したようです。保有する側の企業にしてみれば負担が増えることになりますが、軽率な管理で情報が流出してしまえば情報の主体のみならず企業も損害を被りかねません。自社を守るためにも、保有する情報をきちんと管理する必要があります。
個人情報保護法で企業に課せられる義務はいろいろと列記されていますが、大切なことは保有する情報が外部に流出しないように厳重に管理すること、目的の範囲で適切に利用すること、情報の主体である個人に対して誠実な対応をすることに絞られると思います。
- 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(PDF)
企業が具体的にどのような対応を行えばよいかが分かるように、経済産業省が個人情報保護法の適用についてまとめたマニュアル
まだまだ理念や理解が浸透し始めた段階で、データを管理する側に疑問や不安も多くあるように見受けられます。「施行後に判例が出てみないと、どこまでが適法でどこからが違法になるか見当がつかない」という声も聞きます。
合法か違法かの判断基準で重要な鍵となるのは、その情報を保有する側の運営ポリシーとなるでしょう。ではデータベースの開発をしたり、現場でデータを管理しているエンジニアは何に気を付ければいいでしょうか。おそらく保有する個人情報の入手元などの情報をすぐに出せるような仕組みにしておくことや、簡単に流出しないようにセキュリティ上の工夫を万全にしておくことなどが挙げられると思います。
悲しむべきことかもしれませんが、個人の情報をきちんと保護しないと安全が保てないような社会になりつつあります。情報の主体である人間を保護することの大切さをいま一度考えてみてください。
ではまた来月、お会いしましょう。
 |
2/2 |
| Index | |
| 連載 Database Watch 3月版 SQL Server 2000に 低価格版が加わるらしい…… |
|
| Page 1 ・SQL Server 2000/2005に10万円を切る(?)Workgroup Edition ・人生の挙動を網羅するデータベース |
|
 |
Page
2 ・企業に課せられた情報を管理する責務 |
 |
Database Watch |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
