TOP
>
情報セキュリティ
> 要求事項と個人情報保護法との関連
トピックと手法から学ぶリスクマネジメント
第5回:個人情報漏洩のリスク評価
著者:
プライド 三澤 正司
2006/9/26
前のページ
1
2
3
4
次のページ
要求事項と個人情報保護法との関連
要求事項「3.3.3 リスクなどの認識、分析及び対策」に関連する個人情報保護法を整理する。
要求事項にある利用目的について法は、特定した利用目的の範囲内で個人情報を取り扱うことを義務付けており、利用目的変更に際し原則として本人からの同意を要するものと定めている。第三者提供において、いわゆるオプトアウトを行う場合はあらかじめその利用目的を通知することなどを義務付け、保有個人データに関しては、本人からの求めに応じて利用目的を通知すべきことを定めている。
利用目的に関連する特定や制限の条項が以下の通りであり、利用目的の通知、利用目的の変更、保有データの通知の求めに関連する条項も定められている。
第15条(利用目的の特定)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り限定しなければならない。
第16条(利用目的による制限)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
表3:個人情報の利用目的の制限
要求事項にある安全管理すなわち情報セキュリティ対策について法は、漏洩、滅失または棄損の防止その他の個人データの安全管理のための必要かつ適切な措置を講じるように定めるとともに、特に従業者および委託先の監督を義務付けている。また、データ内容の正確性の確保についても定めている。
安全管理に関連する条項は以下の通りである。
第19条(データ内容の正確性の確保)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
第20条(安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第21条(従業者の監督)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
第22条(委託先の監督)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
表4:安全管理に関する条項
要求事項とガイドラインとの関連
続いて要求事項「3.3.3 リスクなどの認識、分析及び対策」に関連するガイドラインを整理する。
個人情報保護のガイドラインとして経済産業分野では、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月)がある。
要求事項としての「リスクに対する適切な措置」のガイドラインとしては、第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)に対するガイドラインが対応している。ここでは、第20条(安全管理措置)対するガイドラインを確認する。
ガイドラインでは、組織的/人的/物理的および技術的な側面から安全管理措置を講じるとしている。その際、個人情報が漏洩、滅失または棄損をした場合に本人が被る権利や利益の侵害の大きさを考慮し、事業の性質および個人情報の取扱状況等に起因するリスクに応じて必要かつ適切な措置を講じるものとしている。
以下にその内容を示す。
表5:安全管理の措置
(画像をクリックすると別ウィンドウに拡大図を表示します)
個人情報の取り扱いにかかわるリスク
個人情報は以下のような適正でない取扱いをすることによって本人の権利や利益を侵害するリスクが発生する。
個人情報漏洩
本来第三者に提供・開示しない情報が、本人の意思に反して提供されることは、悪用されることによって本人の権利や利益を侵害するおそれが高い。とりわけ個人の身体や財産、信用などのいわゆるセンシティブ性が高い個人情報は、第三者がそれらを不正に取得して利用することにより本人の社会生活上著しい不利益を伴うこともある。
システムへの不正アクセス、内部者による犯行、誤って破棄、移動中のパソコン盗難、帰宅途中のパソコン紛失、自宅に持ち帰ったパソコンからP2Pソフトウェアによる情報流出など漏洩の脅威は多い。
前のページ
1
2
3
4
次のページ
著者プロフィール
株式会社プライド 三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第5回:個人情報漏洩のリスク評価
個人情報保護におけるリスクアセスメントの位置付けと要件
要求事項と個人情報保護法との関連
不正利用
リスクアセスメント手法の適用