TOP
>
情報セキュリティ
> 個人情報保護におけるリスクアセスメントの位置付けと要件
トピックと手法から学ぶリスクマネジメント
第5回:個人情報漏洩のリスク評価
著者:
プライド 三澤 正司
2006/9/26
1
2
3
4
次のページ
個人情報保護におけるリスクアセスメントの位置付けと要件
前回に引き続き個人情報保護に着目して、関連するリスクアセスメント手法を説明する。まずは、個人情報保護におけるリスクアセスメントの位置付けを確認する。
個人情報保護法
個人情報保護法の骨子は以下の通りである。
あらかじめ利用目的をできる限り特定し、その利用目的の達成に必要な範囲内でのみ個人情報を取り扱う
個人情報(注1)は適正な方法で取得し、取得時に本人に対して利用目的の通知・公表等をする
個人データ(注2)については、正確・最新の内容に保つように努め、安全管理措置を講じ、従業者・委託先を監督する
あらかじめ本人の同意を得なければ、第三者に個人データを提供してはいけない
保有個人データ(注3)については、利用目的などを本人の知り得る状態に置き、本人の求めに応じて開示・訂正・利用停止などを行う
苦情の処理に努め、そのための体制を整備する
表1:個人情報保護法の骨子
*注1
:特定の個人を識別できる情報
*注2
:個人情報が検索可能なように整理されているデータ
*注3
:個人データのうちで、開示や内容の訂正などができる権限を持つデータ(除く6ヶ月以内に消去されるもの)
JIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」
JIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」は以下に示す通り、「計画(Plan) → 実行(Do) → 点検(Check) → 処置(Act)」のマネジメントモデルを採用している。
3 要求事項
3.1 一般要求事項
3.2 個人情報保護方針
3.3 計画
3.3.1 個人情報の特定
3.3.2 法令、国が定める指針その他規範
3.3.3 リスクなどの認識、分析及び対策
3.3.4 資源、役割、責任及び権限
3.3.5 内部規定
3.3.6 計画書
3.3.7 緊急事態への準備
3.4 実施及び運用
3.4.1 運用手順
3.4.2 取得、利用及び提供に関する原則
3.4.2.1 利用目的の特定
3.4.2.2 適正な取得
3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
3.4.2.4 本人から直接書面によって取得する場合の措置
3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
3.4.2.6 利用に関する措置
3.4.2.7 本人にアクセスする場合の措置
3.4.2.8 提供に関する措置
3.4.3 適正管理
3.4.3.1 正確性の確保
3.4.3.2 安全管理措置
3.4.3.3 従業者の監督
3.4.3.4 委託先の監督
3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利
3.4.4.2 開示等の求めに応じる手続き
3.4.4.3 開示対象個人情報に関する事項の周知など
3.4.4.4 開示対象個人情報の利用目的の通知
3.4.4.5 開示対象個人情報の開示
3.4.4.6 開示対象個人情報の訂正、追加又は削除
3.4.4.7 開示対象個人情報の利用又は提供の拒否権
3.4.5 教育
3.5 個人情報保護マネジメントシステム文書
3.5.1 文書の範囲
3.5.2 文書管理
3.5.3 記録の管理
3.6 苦情及び相談への対応
3.7 点検
3.7.1 運用の確認
3.7.2 監査
3.8 是正処置及び予防処置
3.9 事業者の代表者による見直し
表2:個人情報保護マネジメントシステム-要求事項
リスクアセスメントは、「3.3.3 リスクなどの認識、分析及び対策」の「認識、分析」部分である。要求事項「3.3.3 リスクなどの認識、分析及び対策」は以下の通り定義されている。
——事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。
——事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏洩、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。
1
2
3
4
次のページ
著者プロフィール
株式会社プライド 三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第5回:個人情報漏洩のリスク評価
個人情報保護におけるリスクアセスメントの位置付けと要件
要求事項と個人情報保護法との関連
不正利用
リスクアセスメント手法の適用