TOP
>
情報セキュリティ
> 個人情報漏洩防止の観点
常識として知っておきたい個人情報保護法
第2回:企業における対応方針と成功の秘訣
著者:
日本ヒューレット・パッカード 佐藤 慶浩
2006/6/19
前のページ
1
2
3
次のページ
個人情報漏洩防止の観点
2つ目の個人情報漏洩防止の観点は、情報セキュリティ対策の一部として取り組むべき課題である。その際に、個人情報の漏洩防止を独立して検討するのはナンセンスだ。
なぜなら、自社の機密情報の漏洩防止対策と個人情報の漏洩防止対策を分けて実施するのは現実的ではないからだ。企業としての情報漏洩対策の一環として個人情報も保護すべきである。
個人情報は他の機密情報に比べて取得経路が多い上に取り扱う範囲が広いために、その漏洩を防止するのは困難である。しかし情報の流れは、他の機密情報に比べて単純なため業務処理を一元化しやすく、むしろ対策しやすいという側面もある。前向きに考えれば個人情報の漏洩対策を応用することで、機密情報の一元管理の見直しにも役立つと考えてよい。
図2:情報漏洩防止の基本原理
また企業における個人情報というのは、実は持たなくてもよいものも多い。業務に必要のない情報を持たないようにすれば、情報漏洩することがなくなる。これを機会に必要のない個人情報を廃棄して新たに情報を入手しないようにすれば、その分のITの維持コストを低くできる場合もある。漏洩防止対策で最初にすべきことは不要な情報の削除だ。
個人情報の入手経路を徹底的に絞り込み、次に参照を絞り込むことで図2の左から右に向かって対象領域を狭めていって、それでもアクセスしなければならない部分について、重点的に対策を実施する方が効果的だ。例えば全社の全PCに個人情報漏洩防止対策をする場合、まず全PCが個人情報にアクセスできることの是非を再考すべきだろう。
絞り込んだ上で実施する対策については、経済産業省の個人情報保護ガイドラインの第20条の部分で示されている。このうち技術的対策の考え方については、筆者による以下の解説を参考にするとよい。
つぎはぎシステムを防ぐセキュリティアーキテクチャ
http://yosihiro.com/profile/book.html
また、より具体的な遵守事項の参考としては、以下についても参考になる。
政府機関の情報セキュリティ対策のための統一基準 K303 解説書
第4部「情報セキュリティ要件の明確化に基づく対策」
http://www.nisc.go.jp/active/general/pdf/k303-052c.pdf
個人情報活用施策の観点
3つ目の個人情報活用の観点は、個人情報の中でも取り分け顧客の個人情報について必要となる観点だ。つまり顧客の個人情報をビジネスでいかに活用するかという課題であり、保護ではなく活用のための管理策である。最初にも述べたが、この観点は企業にとっての積極的な動機付けになり得るという点で先の2つと異なる。
個人情報漏洩防止の項でも触れたが、業務における顧客の個人情報の必要性とは、ビジネスに活用するかどうかを考えるということだ。したがって、ビジネスに活用しない個人情報は持つべきではない。
逆にいえば、持っている情報は活用すべきである。情報は活用するためにリスクを伴って保持するのだと考えるのがよいだろう。たとえ活用する情報だとしても、それを持つことによるリスクに比べて十分な見返りのない情報であれば、持たないほうがよい。
前のページ
1
2
3
次のページ
著者プロフィール
日本ヒューレット・パッカード株式会社 佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/
INDEX
第2回:企業における対応方針と成功の秘訣
はじめに
個人情報漏洩防止の観点
3つの観点の使い方
