迫る個人情報保護法施行、4月までにできることは

2004/11/17

 「個人情報の保護に関する法律」(個人情報保護法)の完全施行が2005年4月に迫り、ユーザー企業の多くが対策を急いでいる。いまの対策が有効に機能しているかや、どこまで対策が必要かなど、セキュリティの理想を模索する企業も多い。11月16日から18日にかけて開催中のイベント「Global IP Business Exchange 2004」(主催:Global IP Business Exchange実行委員会)で講演したネットワークスのインターネットソリューション事業本部 シニアコンサルタント 内田昌宏氏は「短期間で確信が持てる実行策を立案することが重要」と説明した。

ネットワークスのインターネットソリューション事業本部 シニアコンサルタント 内田昌宏氏

 内田氏はこれまで発生した個人情報の漏えい事件を振り返り、「セキュリティポリシーの遵守を訴えるだけの性善説では、“知識不足”や“軽率な行動”による個人情報の漏えいは救えない」と指摘した。個人情報の保護を徹底するには、「知識不足や操作ミス、軽率な行動をITの運用でカバーするセキュリティポリシーのITへの実装が重要になる」として、性悪説に立った運用の重要性を説明した。

 では、企業はどこまで個人情報保護の対策を行うべきなのか。内田氏は弁護士の意見として「他社との比較において、ずさん/不十分と評価されるような管理体制、施策でないようにすること」と紹介した。他社と比較して飛びぬけて堅牢な体制を整える必要はないが、「誰が見ても必要なことはやっておくことが重要」と指摘した。たとえ個人情報が漏えいしても十分な対策を行っておくことで、法的責任、社会的道義的責任の拡大を防げるという。「4月に100%ではなく、世間一般の目標を目指してほしい」という。

 また、内田氏はフォレンジクスなど個人情報の漏えい後に追跡調査が可能なアクセスログの保存が特に重要になると指摘。もしアクセスログが不完全だと「まさに企業の管理体制が問われる」と述べた。

 ネットマークスが顧客企業のシステムを構築する場合、要件定義やシステム構築の前段階の現状評価、現状分析をしっかり行うことで個人情報保護に対する企業の問題点や解決策を浮き彫りにする。企業のシステムの中で情報がどう生成され、蓄積、活用、廃棄されるのかを示すデータフローのダイアグラムを作成し、問題点を客観的に見えるようにする。ERPにすべてのシステムから情報が出入りしている場合、そのERPの強化が個人情報保護強化のポイントになる。ネットマークスではまた、従業員の1日の行動パターンを分析することで組織が抱える問題点を抽出することなどを行っている。

 現状の評価、分析で個人情報保護の問題点が分かったら、次に対策を考える。対策は「認証」「アクセス制御」「ウイルス対策」などの大きな方針を立てて、その1つ1つをブレークダウンして具体的な対策をリストアップしていく。さらに対策を実行する優先順位を検討し、重要な対策から行っていく。内田氏が示した対策の優先順位の例によると、上位10の対策を行うことでリスクの約60%をカバーできるという。上位13の対策を行えば約70%を網羅できる。

 ネットマークスでは個人情報保護の対策を目標に近づける手法として「COBITフレームワーク」を活用している。COBITとはITガバナンスの成熟度を測るフレームワークで、ITの運用管理について34の項目を設定している。項目別に0から5までの成熟度モデルを設定し、段階的に目標に近づくことを目指す。セキュリティに関する項目はCOBITの中で1項目に過ぎないが、ネットマークスではこの項目を個人情報保護に適用して再定義し、具体的項目にブレークダウンしている。具体的項目は「アカウント管理」「パスワード管理」「ウイルス対策」などがあり、それぞれに対して0から5までの段階を設定し、成熟度を測る。COBITのそのほかの項目は企業内の関係する部門が担当し、全社的に個人情報を保護できる体制を確立する。内田氏は「情報セキュリティを推進するには(COBITの各項目を)実施する主管部門を定め、主管部門によるマイルストーンとアウトプットを明確にすることが必要」と指摘した。 

(編集局 垣内郁栄)

[関連リンク]
ネットマークス
Global IP Business Exchange 2004

[関連記事]
施行間近の個人情報保護法、「いまから対策しても間に合いません」 (@ITNews)
難しくない個人情報保護法対策、HPが提案 (@ITNews)
巨額の損害賠償請求に有効、フォレンジクスとは (@ITNews)
ヤフーBB全会員に500円、情報流出事件で孫氏が謝罪 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)