TOPプロジェクト管理> 個人情報保護法の要求事項
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第1回:情報セキュリティマネジメントシステムとは?
 著者:みずほ情報総研  青木 淳   2005/9/5
前のページ  1  2   3  4  次のページ
個人情報保護法の要求事項

   次に、情報セキュリティ対策の視点で個人情報保護法(個人情報の保護に関する法律)を整理しておく。個人情報保護法の施行によって、情報資産に対する関心が高まり、個人情報を取り扱う企業(個人情報取扱事業者という)は、収集して保有している個人情報を法の定めるルールに基づき、適切に利用し管理しなければならない。

   個人情報保護法では、以下の条文で上記のことを規定している。なお、企業が対処すべき条文は他にもあるが、ここではあくまで情報セキュリティ対策の視点で整理しているのでご注意願いたい。

  • 利用目的の範囲内での利用(第十六条)
  • 正確性担保の担保努力義務(第十九条)
  • 安全管理措置業務(第二十条)
  • 従業者の監督義務(第二十一条)
  • 委託先の監督業務(第二十二条)

表3:個人情報の保護に関する法律
   個々の詳細については以降に記載するが、上記の内容を実施するには、企業内で個人情報に関する取り扱いを定め、それにのっとり適切に運用する基盤を構築する必要がある。実は、これらの内容は情報セキュリティマネジメントシステムと密接に関連しており、上記の内容を整備することは、情報セキュリティマネジメントシステムの構築を一部実施していることにもなる。

   事実、情報セキュリティマネジメントシステムの認証規格であるISMS(Information Security Management System)では、第二十条のような安全管理措置(ISMSでは管理策であるが)を採用すること、あるいは委託先に関する管理策なども実施することを求めている。ISMSに関しては、別の回で説明をするので、ここでは個人情報保護法において個人情報取扱事業者に対して求めている上記5つの項目について確認する。
第十六条:利用目的の範囲内での利用

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
   「取り扱ってはならない」という部分が重要で、個人情報を取り扱うそれぞれの段階で管理策が求められる。
取得

   まずは個人情報を取得するところから、個人情報の取り扱いがはじまる。したがって、利用目的に無関係な個人情報の取得は避けなければならない。企業であれば、その業務の利用目的にのっとって個人情報を取得し、それをチェックする体制の構築が望まれる。
利用

   取得した個人情報を利用するということも、もちろん個人情報を取り扱うことに含まれる。当然、利用目的の達成に必要な範囲内での利用が要求されているが、企業としては、その利用状況の把握や利用の際の管理策(個人情報を社外へ持ち出さないなど)の構築も必要となってくる。
保有

   取得して利用した個人情報をなんらかの形で保存や保管する際も、この条文の利用目的の達成に必要な範囲内での保有することになる。必然的に保有の際の管理策(アクセス制御やバックアップなど)が必要となるが、不要となった個人情報の廃棄方法についても、管理策として実施することが大切である。したがって、情報の保有期間を適切に定めることが重要である。
提供

   取得した個人情報を利用・加工して別の人や組織に提供する場合にも、利用目的の達成に必要な範囲内での提供に制限されることになる。提供については、第二十三条の第三者提供の制限にも記載があるので、参考にするとよい。
第十九条:正確性担保の担保努力義務

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つように務めなければならない。
   個人情報が不正確であれば、個人情報取扱事業者が不利益を講じる、あるいはその本人の権利の侵害などを招くことになるので、正確・完全・最新となるような管理策が必要となる。
第二十条:安全管理措置

個人情報取扱事業者は、その取扱う個人データの漏えい、滅失又は棄損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
   ここについては、条文の記載の通り、個人データの漏えいなどが発生しないように、個人情報取扱事業者に、必要な管理体制の構築を要請しているものである。ここの詳細については、経済産業省などのガイドラインの解説をするときに詳細を記載する。
前のページ  1  2   3  4  次のページ

みずほ情報総研株式会社 青木 淳<
 著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第1回:情報セキュリティマネジメントシステムとは?
  情報セキュリティ事件・事故の影響
個人情報保護法の要求事項
  第二十一条:従業者の監督、第二十二条:委託先の監督
  厚生労働省のガイドライン