TOP
>
情報セキュリティ
> はじめに
常識として知っておきたい個人情報保護法
第3回:個人情報の分別方法
著者:
日本ヒューレット・パッカード 佐藤 慶浩
2006/6/26
1
2
3
次のページ
はじめに
前回は個人情報をビジネスに活用するという目的を明確にし、達成する手段の要件として、個人情報保護法対応というコンプライアンスと漏洩防止を含む情報セキュリティ対策を検討すべきであることを、3つの観点から紹介した。
そうすれば個人情報の管理策は、お客様への安心感と満足度の向上といったビジネスに対して前向きな策となり、組織に定着するのである。そこで今回は「どのようにして対策内容を決めていくのか」について紹介していく。
個人情報の分別に応じた対策
個人情報保護対策と一言で書くと陥りやすい間違いがある。それは
「決めるべき対策は一様一律なものではない」
ということだ。ここを間違えると、一見すっきりしているが実は意味のない対策となるため注意が必要だ。情報システムの構築では、設計の前提ともなるべき重要なポイントである。
対策の過不足をなくす分別
ゴミを適切に処理するためには、ゴミの分別が必要なことについては周知の通りだ。すべてのゴミを元の状態のままで埋め立てていたのでは、埋立地はすぐに溢れてしまう。さらにその中に環境に対する危険物質が混ざっていたら、その埋立地はその後何も利用できず単に立ち入り禁止にするしかなくなる。
このようにならないためにも、燃えるゴミは燃やして灰にしてから処分し、再利用できるゴミは再利用に努め、危険物質は専門の処理をして、残りのものを埋め立て、分別したそれぞれのゴミについて適切な処理を行うのである。
言い換えれば、すべてのゴミをもっとも厳しく処理をすると負担が高くなりすぎてしまうが、かといってすべてのゴミを中程度にしか処理をしないと一部のゴミは不十分な処理となり、結果として取り返しのつかないことになるということだ。
ゴミを分別してそれぞれに最適な処理をすることが、ゴミ処理を適切に行うためには不可欠となる。処理は不十分であってはならないが、過剰ではコストが負担できない。
分別して対策すべきということは個人情報についても同じである。
企業が接する個人情報をひと括りのものとして対策を講じようとすれば、過度の無用な対策が増えて現実的でなくなるか、または一部の重要な情報について必要な対策が講じられなくなるということが起こる。だから個人情報を分別して、それぞれに適した対策を講じる必要があるのだ。
企業が接する個人情報の分別は、2つのステップに分けて行う。まず「保管の観点」で、誰に関するものかによる分別をする。次に「対策の観点」で、例えばどのようなものかによる分別をするのである。
分別の第1ステップ「保管の分別:誰に関する情報か」
分別方法の第1ステップでは、保管をどう分けるのかを想定しながら分別方法を検討するとよい。一般的には、誰に関するものかにおいて以下の4つに分別できる。
A. 従業員の個人情報
正社員ばかりではなく、派遣社員や委託先社員なども含まれる。また人事評価や査定に関する情報も含まれるため、厚生労働省ガイドラインでは雇用管理情報と呼ばれる。
B. 顧客の個人情報
いわゆる顧客の個人情報である。
C. 委託業務を請け負っている場合における、委託業務で処理する個人情報
法人向けの事業をしている場合に、その発注元企業が管理する個人情報のうち、委託業務で処理する個人情報である。例えばITシステムの構築や運用・保守サービスを提供している場合は、そのシステムが処理する個人情報である。またセミナーの運営代行サービスを提供している場合は、その受講者に関する個人情報である。これらは自社の情報ではないという点が、AやBと異なる。
D. 取引先や調達先など、上記以外の個人情報
AからC以外のもので、例えば取引先や調達先などの個人情報である。Cのような委託業務をしている場合は、その委託元企業の社員の情報がこれに該当する。
表1:個人情報を関係者別に分ける
自社の業種・業態によってA〜Dとは異なる分別をしてもよいが、Dのように「その他」という分類を設けることが重要だ。そうしないと想定外の情報を取り扱うことになった場合にD以外の分類に混入してしまい、すべての分別が無駄になってしまう。
分別による保管
保管に関しては、それぞれAからDに分けて行う。情報システムを用いる場合には、システムを別々にするのが最も単純な方法だ。
1つのシステム内で、AからDを区別して処理できるのであれば、必ずしも別々にする必要はない。保管については次回以降に企業規模別に解説していく。
1
2
3
次のページ
著者プロフィール
日本ヒューレット・パッカード株式会社 佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/
INDEX
第3回:個人情報の分別方法
はじめに
分別の第2ステップ「対策の分別:どのような情報か」
分別による対策
