情報セキュリティコンサルタントの提言

個人情報保護法に備える4つの課題

山口 毅治
インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部シニアディレクター
BSI認証 BS7799スペシャリスト
2004/12/2



 個人情報保護対策に向けて

 これまで、なぜ個人情報保護に向けた対策が未実施なのか、もしくは着手できないのかを述べてきた。ビジネスを行っていくうえで対策そのものが難しいことも、その対策には投資が必要であることも理解したうえで、個人情報漏えい防止に向けた最低限の対策について述べてみたい。

●現状把握の必要性

 散在する個人情報とその内容、多種多様に加工した個人情報、複数の経路からアクセス可能な個人情報など、企業内に存在する個人情報の種類と使用目的を明確にすることで、当該個人情報に対するリスクを把握し、そのリスクに対して対策を講じることを推奨したい。また、すべてのリスクへの対策が難しいのであるならば、リスクの受容としての現状分析を実施する必要がある。

●セキュリティ監査(診断)の有効性

 個人情報漏えい事故において問題なのは、容易に自社の情報が引き出せる、もしくはアクセス可能な環境が存在し、そのアクセス経路が複数ある場合が多いことである。

 このような問題に対して、セキュリティ監査(診断)はアクセス経路を識別するうえにおいても有効である。また、そのアクセス経路上にあるサーバやネットワーク機器の脆弱性を調査することでアクセスコントロールをより強固なものにすることができるし、アクセス権限の見直しを行うことが可能となる。また、今後話題になるであろうSOA(企業改革法:Sarbanes-Oxley Act)の監査証跡としての有用性もある。

●継続的教育の必要性

 個人情報漏えい事故の原因において、“モラルの問題”や“操作ミス”も挙げられる。日ごろ、慣れ親しんだ業務であっても“操作ミス”は発生し、その結果、情報漏えいにつながることも少なくはないだろう。

 また、情報の重要度レベルを把握して業務を遂行している従業員はどのくらいいるのだろうか。就業規則に記述があり、不明なときは規則を読む従業員がどのくらいいるのだろう(せいぜい、入社後数カ月以内に読んで終わりではないか)。

 しかし、個人情報保護法が施行されてからはそれでは済まなくなる。企業としての責任が問われてしまうからだ。個人情報取り扱いの規定を繰り返し教育・徹底することで従業員への気付きを促し、来るべき法施行に備える必要がある。

 企業の社会的責任を見据えた対策を

 すでに個人情報保護法の施行をにらみ体制や規定の見直しを進めている企業には、「CSR(企業の社会的責任:Corporate Social Responsibility)」を見据えた対策を切にお願いしたい。自社の情報管理が確立されていても、従業員や外部委託業者にその意識がなく情報漏えいが発生した場合、当該企業における責任は回避できない。そのためには、外部機関による認証取得を1つのトリガーとし、「業務体」を包括する網羅的な個人情報管理体制の整備に取り組むとともに、2005年4月の個人情報保護法全面施行後、想定される新たな課題に対しても柔軟に対応できるよう、管理体制自体の継続的な「監理」が求められるといえる。

 また、プライバシーマークなどの認証取得が難しい企業は、社内規定整備、従業員、派遣社員、外部委託業者への教育・啓発の実施を行い、意識の向上と規定の徹底に努める必要がある。さらに、技術的な側面からは定期的なセキュリティ監査(診断)やセキュリティシステムを構築することで、企業の持つリスクを低減すると同時に第三者認証と同等の品質を保持する必要がある。

 いままでのコンサルティング経験から感じたことを書き綴ってみたが、その内容が企業における個人情報保護対策の一助になれば幸いである。

2/2


Index
個人情報保護法に備える4つの課題
  Page1
個人情報漏えい対策における課題
-セキュリティギャップ
-プロジェクト体制と意思決定
-散在する情報と管理の難しさ
-外部委託業者管理
Page2
個人情報保護対策に向けて
企業の社会的責任を見据えた対策を

Profile
山口 毅治(やまぐち たけはる)

インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部 シニアディレクター
(BSI認証BS7799スペシャリスト)

同社におけるコンサルティング及び教育事業を統括、2004年9月1日に発表した「X-Force 個人情報漏洩対策統合ソリューション」の統括責任者。 同社コンサルティング部門でのコンサルティングサービスの確立と業務拡大に寄与、2001年にはセキュリティポリシー部隊の立上げを行った。

ともすれば上流と下流と言った専門分野に分かれがちであったコンサルティング事業において、前職のコンサルティング・ファームでの経験を活かし、上流コンサルティング〜現場レベルでの実装・運用までを幅広く網羅する、統合セキュリティコンサルティングサービスを実現、各顧客企業へ提供している。

インターネット セキュリティ システムズ プロフェッショナルサービス:
http://www.isskk.co.jp/service/ProfessionalService.html

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間