TOP情報セキュリティ> はじめに




個人情報保護法
常識として知っておきたい個人情報保護法

第2回:企業における対応方針と成功の秘訣
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/6/19
1   2  3  次のページ
はじめに

   前回は個人情報保護法の全面施行から1年間を振り返り、「何ができて、何ができなかったか」について調査報告を基に整理した。そしてIT業界を中心に起きた個人情報保護バブルともいえるブーム的な対策の功罪は、世間一般の認識の向上には貢献したが、実のある対策の定着には疑問を残した。

   そこで今回は、どのようにして個人情報保護法の対応を検討すべきだったのかについて考えてみる。

個人情報保護における3つの観点

   まず企業における個人情報保護の対策を検討する上で、以下の3つの異なる観点があると考えるとよい。

個人情報保護法対応
法令などのコンプライアンスの1つとして、個人情報保護法を遵守するためには何をすべきかの観点。

個人情報洩防止
情報セキュリティ対策として、個人情報の漏洩を防止するためには何をすべきかの観点。

個人情報活用施策
企業活動として個人情報を何の目的で持つのか、また持っている個人情報で何をすべきかの観点。

表1:個人情報保護における3つの異なる観点

   表1にあげた3つの観点には決定的な違いがある。それは1つ目と2つ目が外的要因であるのに対して、3つ目は内的要因であるということだ。

   言いかえれば最初の2つは「やりたい訳ではないがやらなければならないこと」であり、3つ目は「やりたいこと」である。企業では、後者の観点を抜いて前者の観点だけで何かを継続的に実施するのは難しい。そのような進め方は、後々形骸化する傾向があるためだ。では、どうすればよいのか。

   継続のための成功の秘訣は、「やりたいこと」を目的に据えて、「やらなければならないこと」を目的遂行の手段の要件として位置づけることである。それではそれぞれについて順に説明していこう。


個人情報保護法対応の観点

   1つ目の個人情報保護法対応の観点は、法令遵守のコンプライアンスとして取り組むべき課題である。法律では「利用目的の特定と通知(法第15〜18条)」「正確性の確保、安全管理措置、監督、第三者提供の管理(法第19〜23条)」「本人の関与(法第24〜30条)」「苦情の処理(法第31条)」の4つを求めている。

   法の全面施行の前後に顧客情報の漏洩事故が多発したために、その防止対策ばかりが主要課題であるかのごとく偏重された傾向があるが、それは第20条の安全管理措置の一部でしかない(図1)。

個人情報取扱事業者の義務
図1:個人情報取扱事業者の義務

   個人情報保護法とは情報漏洩防止だけのものではない。顧客情報だけでなく従業員なども含めた個人情報について、その利用目的や本人関与をどうするかについても取り組む必要がある点を見落としてはならない。

   よって法律で定められた内容を補足するために、業界別の法定ガイドラインを所管官庁ごとに定めており、自社の業種に見合った法定ガイドラインについて理解し遵守する必要がある。このガイドラインには具体的な実施事項が書かれており、参考になるだろう。

   ガイドラインの一覧は、「内閣府国民生活政策の個人情報保護ホームページ」に「個人情報の保護に関する法律」として掲載されているので、詳細についてはそちらを参照していただきたい。

個人情報の保護に関する法律
http://www5.cao.go.jp/seikatsu/kojin/

   企業は業種業態により管轄省庁の定めたガイドラインを遵守しなければならない。また従業員の個人情報については、業種共通のものとして厚生労働省の法定ガイドラインを遵守しなければならない。したがってすべての企業は少なくとも2つの省庁ガイドラインを遵守する必要がある。

   また法令遵守のコンプライアンスとして考えた場合でも、企業が取り扱う個人情報に関するものは個人情報保護法1つだけではなく、いくつかの法令や自治体条例などがあることに注意すべきである。例としては、特定商取引に関する法律における商業広告の送りつけへの対応や迷惑メール防止条例といったものがある。

1   2  3  次のページ


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第2回:企業における対応方針と成功の秘訣
はじめに
  個人情報漏洩防止の観点
  3つの観点の使い方
常識として知っておきたい個人情報保護法
第1回 データが語る個人情報保護法の実態
第2回 企業における対応方針と成功の秘訣
第3回 個人情報の分別方法
第4回 社内ガイドラインの作成
第5回 コストをかけずにできるセキュリティ対策
第6回 利用目的の通知とデータ管理