個人情報をどう守るか｜NTT Com 個人事業～中小企業のお客さま Biz-IT「ビジネスIT化支援」サイト

ここから本文です

2005年02月28日

　前回は、個人が自分の情報を扱う際の注意事項をお話しました。それでは、企業が個人情報を取り扱う場合は、どのような点に気をつければよいのでしょうか。今回は、個人情報を取り扱っている組織のあり方についてお話します。

　個人情報を取り扱う企業にとって、その情報の保護は必須と言えます。理由はその被害を考えれば明らかでしょう。個人情報を一度漏洩させてしまった場合、失った信頼を取り戻すのは容易ではありません。漏洩させた情報量によっては、数億円というオーダーの損害賠償を被害者から請求される可能性もあります。
　また第1回でも触れた通り、来年の4月からは個人情報保護法が全面施行となり、企業は個人情報を適切に管理し、保護する義務が発生します。それは、具体的には次のようなものです。

・	個人情報の利用目的を、その本人に明示しなければならない。
・	利用目的を変更した場合は、変更された利用目的について本人に通知・公表しなければならない。
・	個人情報の漏えい、滅失またはき損の防止、その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
・	あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならない。
・	本人からの当該本人が識別される保有個人情報の開示の要求に応じなければならない。
・	本人からの当該本人が識別される保有個人データの内容の訂正、追加または削除の要求に応じなければならない。

　企業としてはユーザーに、こうした義務を果たしていることをアピールするのも重要だと言えます。

　では実際に個人情報を取り扱ううえで、どのような点に注意すればよいのでしょうか。第1回でも触れた通り、これまでの個人情報が漏洩してしまったケースの多くは、内部の人間の「人的」リスクによるものでした。これは過失か故意かという視点から、2つに分けて考えることができます。

　故意のもの、たとえば社内の個人情報が管理されているデータベースへの不正アクセスといったケースでは、なんらかの技術的な対策が必要となります。ネットワーク、OS、アプリケーションなど複数のレベルでのアクセス制御がこれにあたります。

　アクセス制御の設定があいまいなため、社内で管理している個人情報に対して、社員であれば誰でもアクセスできるという話もよく聞きますが、そのような場合にはしっかりしたアクセス制限をかけなければなりません。また、いざというとき、一体誰が・いつ・どのデータにアクセスしたのかを確かめるために、アクセスログを普段から収集する必要があります。

　つまり個人情報を電子データで管理する場合は、適切なアクセス制御とアクセスのトレーサビリティ（追跡可能性）の確保が必須だということです。紙媒体の場合であれば、施錠が可能な金庫やキャビネットを用いることで、アクセス制御の役割を果たすことができます。

　一方、過失のケースでは、ノートPCの紛失や盗難が考えられます。この場合、ハードディスクの暗号化やパスワードの設定を行うことで、仮に紛失したり、盗難にあっても、発生する被害を最小限に抑えることができます。そして、こうした設定を行うことをポリシーで義務づけ、組織レベルで徹底させることで、人的エラーによるリスクをさらに縮小させることができます。

　これまでは、顧客データのような個人情報は企業にとって価値のある資産でしたが、ここまで説明してきたようなことを考えると、個人情報を貯めること自体がリスクだと考えることもできます。今後は、本当に必要になった情報のみを管理し、必要のなくなった情報に関しては随時破棄していくなど、個人情報の価値自体を見直していく必要があると言えます。

■関連コンテンツ

	インターネット法制度を知る！
	これならわかる！ネットワークとセキュリティ対策
	一から始めるセキュリティ講座

村上純一　（むらかみじゅんいち）

株式会社ラックコンピュータセキュリティ研究所に勤務。研究員。
セキュリティコンサルタント業務や、ソフトウェアの脆弱性を発見する業務に携わる。

■ホームページ作成サービス

ホームページの開設から更新までパックでご提供！

■ショップ構築おまかせパック

インターネットショップ開設も月額8,000円（税込8,400円）から！

他の連載はこちら

このページのトップへ

IT活用情報