 |
||||||||||||||
|
||||||||||||||
| 1 2 3 次のページ | ||||||||||||||
|
||||||||||||||
| はじめに | ||||||||||||||
|
前回は個人情報をビジネスに活用するという目的を明確にし、達成する手段の要件として、個人情報保護法対応というコンプライアンスと漏洩防止を含む情報セキュリティ対策を検討すべきであることを、3つの観点から紹介した。 そうすれば個人情報の管理策は、お客様への安心感と満足度の向上といったビジネスに対して前向きな策となり、組織に定着するのである。そこで今回は「どのようにして対策内容を決めていくのか」について紹介していく。 |
||||||||||||||
| 個人情報の分別に応じた対策 | ||||||||||||||
|
個人情報保護対策と一言で書くと陥りやすい間違いがある。それは「決めるべき対策は一様一律なものではない」ということだ。ここを間違えると、一見すっきりしているが実は意味のない対策となるため注意が必要だ。情報システムの構築では、設計の前提ともなるべき重要なポイントである。 |
||||||||||||||
| 対策の過不足をなくす分別 | ||||||||||||||
|
ゴミを適切に処理するためには、ゴミの分別が必要なことについては周知の通りだ。すべてのゴミを元の状態のままで埋め立てていたのでは、埋立地はすぐに溢れてしまう。さらにその中に環境に対する危険物質が混ざっていたら、その埋立地はその後何も利用できず単に立ち入り禁止にするしかなくなる。 このようにならないためにも、燃えるゴミは燃やして灰にしてから処分し、再利用できるゴミは再利用に努め、危険物質は専門の処理をして、残りのものを埋め立て、分別したそれぞれのゴミについて適切な処理を行うのである。 言い換えれば、すべてのゴミをもっとも厳しく処理をすると負担が高くなりすぎてしまうが、かといってすべてのゴミを中程度にしか処理をしないと一部のゴミは不十分な処理となり、結果として取り返しのつかないことになるということだ。 ゴミを分別してそれぞれに最適な処理をすることが、ゴミ処理を適切に行うためには不可欠となる。処理は不十分であってはならないが、過剰ではコストが負担できない。 分別して対策すべきということは個人情報についても同じである。 企業が接する個人情報をひと括りのものとして対策を講じようとすれば、過度の無用な対策が増えて現実的でなくなるか、または一部の重要な情報について必要な対策が講じられなくなるということが起こる。だから個人情報を分別して、それぞれに適した対策を講じる必要があるのだ。 企業が接する個人情報の分別は、2つのステップに分けて行う。まず「保管の観点」で、誰に関するものかによる分別をする。次に「対策の観点」で、例えばどのようなものかによる分別をするのである。 |
||||||||||||||
| 分別の第1ステップ「保管の分別:誰に関する情報か」 | ||||||||||||||
|
分別方法の第1ステップでは、保管をどう分けるのかを想定しながら分別方法を検討するとよい。一般的には、誰に関するものかにおいて以下の4つに分別できる。
表1:個人情報を関係者別に分ける 自社の業種・業態によってA〜Dとは異なる分別をしてもよいが、Dのように「その他」という分類を設けることが重要だ。そうしないと想定外の情報を取り扱うことになった場合にD以外の分類に混入してしまい、すべての分別が無駄になってしまう。 |
||||||||||||||
| 分別による保管 | ||||||||||||||
|
保管に関しては、それぞれAからDに分けて行う。情報システムを用いる場合には、システムを別々にするのが最も単純な方法だ。 1つのシステム内で、AからDを区別して処理できるのであれば、必ずしも別々にする必要はない。保管については次回以降に企業規模別に解説していく。 |
||||||||||||||
|
1 2 3 次のページ |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
-
連載
