TOP情報セキュリティ> 不正利用
リスクマネジメント
トピックと手法から学ぶリスクマネジメント

第5回:個人情報漏洩のリスク評価
 著者:プライド   三澤 正司   2006/9/26
前のページ  1  2  3   4  次のページ
不正利用

   本人の権利や利益を侵害するおそれが高い。本人が当該個人情報の利用について、事前に把握している利用目的とは異なる目的で利用されることになり、結果的に、本人の権利や利益が侵害されることがある。

   不正利用には、以下のケースが考えられる。
  • 当初の利用目的以外の目的で個人情報を利用する目的外利用
  • 利用にあたって何らかの不正行為が介在する利用

表6:不正利用のケース

   つい最近、教材販売会社社長が、過去の通信教育受講者に未払い代金などの回収を装う「振り込め詐欺」という卑劣な行為を行っている。
不正確な個人情報が利用されることによって生じる問題

   違法行為に従事した第三者の個人情報と自分の情報が誤って利用されるようなことがあると、社会生活上不利益を被るおそれがある。
個人情報の全部または一部の「滅失」や「棄損」

   本来利用できるはずの個人情報が利用できなくなることによって生じる弊害などの問題がある。

   この他にも、個人情報の持ち主が不安であると感じる心理的なリスク、コンプライアンスに係るリスクでも確認した事後対応の不手際で起きるレピュテーションリスクも考慮する必要がある。
個人情報漏洩を後押しする環境

   現在は、個人情報漏洩事件が多発しているが、以前もまったくなかった訳ではない。大きく以下の2つの環境変化が後押ししているのである。
情報のデジタル化

   アナログの時代であれば、情報は物理的な存在で、情報漏洩は物そのものの紛失で起こった。

   しかしインターネットに代表されるデジタルの時代では、サイバーリテラシー研究所が提唱しているように、サイバー空間には以下の3原則がある。

  • サイバー空間には制約がない
  • サイバー空間は忘れない
  • サイバー空間は「個」をあぶりだす

表7:サイバー空間の3原則

   このような環境の中、知らないうちに情報が盗み出され、あるいは収集され、情報が蓄積/再構成されて悪用される。
人材流動化

   転職やアウトソースなどにより正社員以外の人員が業務プロセスに関与する割合が高くなり、事故の要因となる可能性が高くなっている。
事後対応の重要性

   企業は、対策を講じているが個人情報漏洩は起きている。100%事故を防ぐことはできないのである。そうであれば事後対応を考慮することも重要である。

   事後対応のポイントは、以下の4点であるという。

  1. 事件の公表(メディアを通じたリスク・コミュニケーション)
  2. 被害者に対する事実周知と謝罪
  3. 漏洩情報の回収努力
  4. 再発防止措置

表8:情報漏洩後の対策ポイント

   1999年5月に起こった宇治市の住民基本台帳データ大量漏洩事件(約22万件の住民票データ流出)では、事件後のデータの回収、市民への説明、防止策の実施など事後対応をきちんと行ったということが判決理由の中で述べられている。このことは、賠償額を抑えるファクターとしても考慮されているという。
前のページ  1  2  3   4  次のページ

株式会社システムインテグレータ 代表取締役 梅田 弘之
 著者プロフィール
株式会社プライド  三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第5回:個人情報漏洩のリスク評価
  個人情報保護におけるリスクアセスメントの位置付けと要件
  要求事項と個人情報保護法との関連
不正利用
  リスクアセスメント手法の適用