 |
||||||||||||||
|
||||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||||
|
||||||||||||||
| 要求事項と個人情報保護法との関連 | ||||||||||||||
|
要求事項「3.3.3 リスクなどの認識、分析及び対策」に関連する個人情報保護法を整理する。 要求事項にある利用目的について法は、特定した利用目的の範囲内で個人情報を取り扱うことを義務付けており、利用目的変更に際し原則として本人からの同意を要するものと定めている。第三者提供において、いわゆるオプトアウトを行う場合はあらかじめその利用目的を通知することなどを義務付け、保有個人データに関しては、本人からの求めに応じて利用目的を通知すべきことを定めている。 利用目的に関連する特定や制限の条項が以下の通りであり、利用目的の通知、利用目的の変更、保有データの通知の求めに関連する条項も定められている。
表3:個人情報の利用目的の制限
要求事項にある安全管理すなわち情報セキュリティ対策について法は、漏洩、滅失または棄損の防止その他の個人データの安全管理のための必要かつ適切な措置を講じるように定めるとともに、特に従業者および委託先の監督を義務付けている。また、データ内容の正確性の確保についても定めている。 安全管理に関連する条項は以下の通りである。
表4:安全管理に関する条項
|
||||||||||||||
| 要求事項とガイドラインとの関連 | ||||||||||||||
|
続いて要求事項「3.3.3 リスクなどの認識、分析及び対策」に関連するガイドラインを整理する。 個人情報保護のガイドラインとして経済産業分野では、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月)がある。 要求事項としての「リスクに対する適切な措置」のガイドラインとしては、第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)に対するガイドラインが対応している。ここでは、第20条(安全管理措置)対するガイドラインを確認する。 ガイドラインでは、組織的/人的/物理的および技術的な側面から安全管理措置を講じるとしている。その際、個人情報が漏洩、滅失または棄損をした場合に本人が被る権利や利益の侵害の大きさを考慮し、事業の性質および個人情報の取扱状況等に起因するリスクに応じて必要かつ適切な措置を講じるものとしている。 以下にその内容を示す。  表5:安全管理の措置 (画像をクリックすると別ウィンドウに拡大図を表示します) |
||||||||||||||
| 個人情報の取り扱いにかかわるリスク | ||||||||||||||
|
個人情報は以下のような適正でない取扱いをすることによって本人の権利や利益を侵害するリスクが発生する。 |
||||||||||||||
| 個人情報漏洩 | ||||||||||||||
|
本来第三者に提供・開示しない情報が、本人の意思に反して提供されることは、悪用されることによって本人の権利や利益を侵害するおそれが高い。とりわけ個人の身体や財産、信用などのいわゆるセンシティブ性が高い個人情報は、第三者がそれらを不正に取得して利用することにより本人の社会生活上著しい不利益を伴うこともある。 システムへの不正アクセス、内部者による犯行、誤って破棄、移動中のパソコン盗難、帰宅途中のパソコン紛失、自宅に持ち帰ったパソコンからP2Pソフトウェアによる情報流出など漏洩の脅威は多い。 |
||||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
-
連載
