ビジネスわかったランド (総務・庶務)
危機管理事項
個人情報保護・安全管理対策でやるべきことは
リスクの所在を把握・評価し、個人情報を特定することからスタートする。
性弱説で考えよう
近年、内部犯行による個人情報の漏洩事件・事故が多発していることから、性善説の限界が議論され、性悪説の必要性が説かれている。一方で、いままで、「うちの社員に悪い者はいない」という性善説の考え方でやってきた事業者にとっては、性悪説に急転換するような管理体制をつくること自体が困難となる。
いままで信用していた従業者を悪人扱いすることは、心情的に困難を伴ううえ、従業者としても悪人扱いされることでモチベーションが低下する恐れがある。ここで考えていただきたいのは、「人間は本来弱いもの」という<性弱説>の立場に立ってみてはどうかということである。
たとえば、机の上に100万円が無造作に放置されていたとしよう。そんな状態に置かれれば、生来の悪人でなくとも、つい出来心で懐に入れてしまうかもしれない。
もちろん、盗んだ本人に非はあるが、100万円を放置しておくような管理体制にも問題があったのではないだろうか。
性弱説に立った安全管理とは、いわば出来心やミスを起こさせないハードルを設けること。ここから始めてみることで、安全管理に対する前向きな一歩を踏み出せるであろう。
まずは、リスクの所在を把握すること
「いくらかければ安全になりますか?」とか「専門家がいないので当社では安全管理はむずかしい」という話をよく聞く。
しかし、専門家がいないという理由で、専門会社から提案された安全管理方法が会社に合っているかどうかを判断できないとしたら大変である。お金がかかりすぎるからと対策を打たずに事故を起こしたり、逆に専門業者の言いなりになってお金がいくらあっても足りないということになりかねない。
まずは、社内で個人情報のリスク評価を行ない、リスクの高い業務を見つけよう。その結果、必要であれば、専門家に相談すればよいのである。
たとえば、個人情報の取扱いリスクとしては、次のようなものが考えられる。
個人情報への不正アクセス、個人情報の紛失、破壊、改ざん、漏洩などである。とりわけ不正アクセスは、それにより破壊や改ざん、漏洩などその他のリスクを引き起こす大きな問題となる。
また、紙媒体であっても、保管庫から持ち出されるなどのリスクがある。リスクは、デジタルデータに限ったことではない。安全管理上のリスクのほかに、不適切な取得や利用なども企業にとってのリスクといえる。
簡易リスク評価の勧め
リスク評価というと、むずかしい理論が必要に思われるかもしれないが、あくまでもリスクを管理していくための手段でしかない。簡易的な方法を用いて、対策の検討に時間をかけることが合理的であろう。
個人情報のリスク評価を行なう場合、対象が「個人情報」と限定されているので、案件ごとの(1)個人データの数、(2)個人データの項目、(3)取扱者(取り扱う従業者、業務委託の有無等)などに対して指標を作成し、掛け算をすることでリスクの大きさを簡易的に測ることができる。
たとえば、次のとおりである。
(1) 個人データの数は
・1万件以上=3
・5,000件以上1万件未満=2
・5,000件未満=1
(2) 個人データの項目については
・機微な情報、金融情報あり=3
・その他の情報=2
・性別・氏名・住所・電話番号・FAX・電子メールのみ=1
(3) 取扱者は
・社外で業務委託あり=3
・社内で業務委託またはアルバイト、派遣社員=2
・社員のみ=1
この指標は、自社のリスクとは何かを検討したうえで、状況に合わせて作成していく。上記の指標は、以下の可能性を表わしている。
(1) 個人データの数:漏洩事故等が起きた際に被害に遭う人の範囲(件数が多ければ多いほど、被害に遭う人の数が多くなる)
(2) 個人データの種類:漏洩事故等が起きた場合、本人に与える影響の大きさ(住所のみが漏洩した場合と、クレジットカード番号と有効期限が漏洩した場合では、想定される本人への被害が違う)
(3) 取扱者:リスクが起こる確率の高さ(取扱者の数、種類が多いほど漏洩等のリスクが発生しやすくなる)
たとえば、リスクが起こる可能性の高さを測る指標として、個人データの保有期間等を掛け合わせることもできるであろう。
この結果、「数値の大きいもの=リスクが大きい業務」ということがわかる。リスクの高い業務については、業務フローなどを確認し、手順やセキュリティ対策を見直していくことになる。
また、重要なのはこれらのリスク評価の過程およびルール作成、対策実施の状況を記録することである。指標の決定やリスク対策について、誰がどのような決定を行なったかを記録しておくことで、自社がリスク評価を行なったうえで、対策を検討したという証拠を残すことができる。
個人情報の特定の必要性
(1) まずは個人情報の特定を
個人情報についての安全管理措置を検討するにあたって、最初に行なうべきことは、保護すべき個人情報を特定することである。社内にどのような個人情報があるのかがわかっていなければ、保護するための措置を講じることはできない。
また、保護の第一歩といったが、個人情報の特定は、保護の取組みを始めたときだけに終わらず、継続的に行なわなければならない、とても重要な活動である。
会社には、日々、新しい個人情報が次から次に入ってくるはずである。自社内の個人情報を特定できるような手段を確立し、維持していかなければいけない。
(2) 必要のない情報は速やかに廃棄を
個人情報の特定を進めていくことは、不要な個人情報を洗い出すことにもつながる。今後使うあてのない個人情報が、長期にわたって保管されたままになっていないであろうか。もちろん、たとえ使うあてがないとしても、保有している限り個人情報保護法上の義務は発生する。
企業として利用価値のない情報でも、法律に沿った適切な措置が求められるわけで、言ってみればただリスクを抱えるだけである。
不要な個人情報は、速やかに廃棄することが効率的な個人情報保護のコツ、といえるであろう。
(3) とにかく特定を開始しよう
取組みを開始したばかりの会社で、個人情報を特定する際によく問題となるのが、「個人情報とは何か」という基準が、必ずしも全社員一致していないことである。必ず出てくる質問は、「名刺は個人情報ではないですよね」というものである。作業を始めるにあたって、言葉の定義などをよく理解してもらうことが大切であろう。
作業を進めていくには、当然ながら各部門の協力が欠かせない。少数の個人情報保護プロジェクト・メンバーが、自らの手ですべての個人情報をピックアップするのはきわめて困難である。
個人情報保護管理者名で社内各部門に協力を要請したうえで、調査作業を依頼。調査票を配布・回収するというのが、個人情報特定の基本的な手段となる。
作業の具体的な目標として、個人情報案件一覧表の作成をめざす。個人情報案件一覧表とは、社内の個人情報を特定し、簡易リスク評価のもととなる帳簿のことである。この帳票に必要な項目は何なのかを最初から決めるのはむずかしいので、最初の調査では、ある程度大まかな情報のみを集めて、必要な項目を検討し、再調査するなどの方法を検討する。
個人情報案件調査票および一覧表のサンプルを、図表1、図表2に示しておこう。
リスク管理と対策
(1) 安全管理の底上げと個別対応
個人情報案件一覧表を作成すれば、リスクの高い案件を確認することができる。
リスクの高い案件については、個別に安全管理措置を検討していくことが望まれるが、そのほかの案件についても、まったく安全管理がされていない、といった状況は避けなければならない。
個人情報取扱事業者として最低限個人情報をどのように取り扱うのかということを検討し、安全管理の底上げを図ることも重要である。
その際に参考になるのが、先ほどあげた経済産業分野のガイドラインのほか、日本工業規格のJISX5080などのセキュリティガイドラインである。
経済産業省では、個人情報に関するガイドラインのほかにも、情報セキュリティについて、次のようにさまざまな資料を提供している。
<経済産業省>
(http://www.meti.go.jp/policy/netsecurity/strategy.htm)
【情報セキュリティ監査制度関連】
・情報セキュリティ管理基準
・個別管理基準(監査項目)策定ガイドライン
・情報セキュリティ監査基準
・情報セキュリティ監査基準実施基準ガイドライン
・情報セキュリティ監査基準実施報告ガイドライン 等
【その他セキュリティ関連】
・情報システム安全対策基準(1995/8/29制定)
・コンピュータウィルス対策基準(1995/7/7制定)
・ソフトウェア管理ガイドライン(1995/11/15策定)
・コンピュータ不正アクセス対策基準(2000/12/12改定)
<IPA(独立行政法人情報処理推進機構)>
(http://www.ipa.go.jp/security/awareness/awareness.html)
IPAのホームページには、対象者別など、さまざまなセキュリティの情報が掲載されている。
お客様から信頼を得るための安全管理
ここで、すべての安全管理措置について紹介することはできないが、お客様の視点から、安全管理措置について考えてみよう。
個人情報とは、本人の人格に関わる情報だと考えることができる。自分の情報を大事に扱ってくれない会社に対して、お客様が信頼してくれるであろうか? お客様の個人情報は、お客様自身として考え適切に取り扱うことが重要なのである。
ヨーロッパでは、個人の人格を尊重する意識が浸透しており、相手の情報を大事に扱うという行動が、当たり前になっているそうである。お客様の視点から見た、情報漏洩の危険性の高い会社の見分け方についてのチェックシートを用意した(図表4)。
御社にいくつ当てはまるか、確認してみていただきたい。
著者
當摩 祐子(株式会社シーピーデザインコンサルティング コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター)
2006年9月末現在の法令等に基づいています。
性弱説で考えよう
近年、内部犯行による個人情報の漏洩事件・事故が多発していることから、性善説の限界が議論され、性悪説の必要性が説かれている。一方で、いままで、「うちの社員に悪い者はいない」という性善説の考え方でやってきた事業者にとっては、性悪説に急転換するような管理体制をつくること自体が困難となる。
いままで信用していた従業者を悪人扱いすることは、心情的に困難を伴ううえ、従業者としても悪人扱いされることでモチベーションが低下する恐れがある。ここで考えていただきたいのは、「人間は本来弱いもの」という<性弱説>の立場に立ってみてはどうかということである。
たとえば、机の上に100万円が無造作に放置されていたとしよう。そんな状態に置かれれば、生来の悪人でなくとも、つい出来心で懐に入れてしまうかもしれない。
もちろん、盗んだ本人に非はあるが、100万円を放置しておくような管理体制にも問題があったのではないだろうか。
性弱説に立った安全管理とは、いわば出来心やミスを起こさせないハードルを設けること。ここから始めてみることで、安全管理に対する前向きな一歩を踏み出せるであろう。
まずは、リスクの所在を把握すること
「いくらかければ安全になりますか?」とか「専門家がいないので当社では安全管理はむずかしい」という話をよく聞く。
しかし、専門家がいないという理由で、専門会社から提案された安全管理方法が会社に合っているかどうかを判断できないとしたら大変である。お金がかかりすぎるからと対策を打たずに事故を起こしたり、逆に専門業者の言いなりになってお金がいくらあっても足りないということになりかねない。
まずは、社内で個人情報のリスク評価を行ない、リスクの高い業務を見つけよう。その結果、必要であれば、専門家に相談すればよいのである。
たとえば、個人情報の取扱いリスクとしては、次のようなものが考えられる。
個人情報への不正アクセス、個人情報の紛失、破壊、改ざん、漏洩などである。とりわけ不正アクセスは、それにより破壊や改ざん、漏洩などその他のリスクを引き起こす大きな問題となる。
また、紙媒体であっても、保管庫から持ち出されるなどのリスクがある。リスクは、デジタルデータに限ったことではない。安全管理上のリスクのほかに、不適切な取得や利用なども企業にとってのリスクといえる。
簡易リスク評価の勧め
リスク評価というと、むずかしい理論が必要に思われるかもしれないが、あくまでもリスクを管理していくための手段でしかない。簡易的な方法を用いて、対策の検討に時間をかけることが合理的であろう。
個人情報のリスク評価を行なう場合、対象が「個人情報」と限定されているので、案件ごとの(1)個人データの数、(2)個人データの項目、(3)取扱者(取り扱う従業者、業務委託の有無等)などに対して指標を作成し、掛け算をすることでリスクの大きさを簡易的に測ることができる。
たとえば、次のとおりである。
(1) 個人データの数は
・1万件以上=3
・5,000件以上1万件未満=2
・5,000件未満=1
(2) 個人データの項目については
・機微な情報、金融情報あり=3
・その他の情報=2
・性別・氏名・住所・電話番号・FAX・電子メールのみ=1
(3) 取扱者は
・社外で業務委託あり=3
・社内で業務委託またはアルバイト、派遣社員=2
・社員のみ=1
この指標は、自社のリスクとは何かを検討したうえで、状況に合わせて作成していく。上記の指標は、以下の可能性を表わしている。
(1) 個人データの数:漏洩事故等が起きた際に被害に遭う人の範囲(件数が多ければ多いほど、被害に遭う人の数が多くなる)
(2) 個人データの種類:漏洩事故等が起きた場合、本人に与える影響の大きさ(住所のみが漏洩した場合と、クレジットカード番号と有効期限が漏洩した場合では、想定される本人への被害が違う)
(3) 取扱者:リスクが起こる確率の高さ(取扱者の数、種類が多いほど漏洩等のリスクが発生しやすくなる)
たとえば、リスクが起こる可能性の高さを測る指標として、個人データの保有期間等を掛け合わせることもできるであろう。
この結果、「数値の大きいもの=リスクが大きい業務」ということがわかる。リスクの高い業務については、業務フローなどを確認し、手順やセキュリティ対策を見直していくことになる。
また、重要なのはこれらのリスク評価の過程およびルール作成、対策実施の状況を記録することである。指標の決定やリスク対策について、誰がどのような決定を行なったかを記録しておくことで、自社がリスク評価を行なったうえで、対策を検討したという証拠を残すことができる。
個人情報の特定の必要性
(1) まずは個人情報の特定を
個人情報についての安全管理措置を検討するにあたって、最初に行なうべきことは、保護すべき個人情報を特定することである。社内にどのような個人情報があるのかがわかっていなければ、保護するための措置を講じることはできない。
また、保護の第一歩といったが、個人情報の特定は、保護の取組みを始めたときだけに終わらず、継続的に行なわなければならない、とても重要な活動である。
会社には、日々、新しい個人情報が次から次に入ってくるはずである。自社内の個人情報を特定できるような手段を確立し、維持していかなければいけない。
(2) 必要のない情報は速やかに廃棄を
個人情報の特定を進めていくことは、不要な個人情報を洗い出すことにもつながる。今後使うあてのない個人情報が、長期にわたって保管されたままになっていないであろうか。もちろん、たとえ使うあてがないとしても、保有している限り個人情報保護法上の義務は発生する。
企業として利用価値のない情報でも、法律に沿った適切な措置が求められるわけで、言ってみればただリスクを抱えるだけである。
不要な個人情報は、速やかに廃棄することが効率的な個人情報保護のコツ、といえるであろう。
(3) とにかく特定を開始しよう
取組みを開始したばかりの会社で、個人情報を特定する際によく問題となるのが、「個人情報とは何か」という基準が、必ずしも全社員一致していないことである。必ず出てくる質問は、「名刺は個人情報ではないですよね」というものである。作業を始めるにあたって、言葉の定義などをよく理解してもらうことが大切であろう。
作業を進めていくには、当然ながら各部門の協力が欠かせない。少数の個人情報保護プロジェクト・メンバーが、自らの手ですべての個人情報をピックアップするのはきわめて困難である。
個人情報保護管理者名で社内各部門に協力を要請したうえで、調査作業を依頼。調査票を配布・回収するというのが、個人情報特定の基本的な手段となる。
作業の具体的な目標として、個人情報案件一覧表の作成をめざす。個人情報案件一覧表とは、社内の個人情報を特定し、簡易リスク評価のもととなる帳簿のことである。この帳票に必要な項目は何なのかを最初から決めるのはむずかしいので、最初の調査では、ある程度大まかな情報のみを集めて、必要な項目を検討し、再調査するなどの方法を検討する。
個人情報案件調査票および一覧表のサンプルを、図表1、図表2に示しておこう。
リスク管理と対策
(1) 安全管理の底上げと個別対応
個人情報案件一覧表を作成すれば、リスクの高い案件を確認することができる。
リスクの高い案件については、個別に安全管理措置を検討していくことが望まれるが、そのほかの案件についても、まったく安全管理がされていない、といった状況は避けなければならない。
個人情報取扱事業者として最低限個人情報をどのように取り扱うのかということを検討し、安全管理の底上げを図ることも重要である。
その際に参考になるのが、先ほどあげた経済産業分野のガイドラインのほか、日本工業規格のJISX5080などのセキュリティガイドラインである。
経済産業省では、個人情報に関するガイドラインのほかにも、情報セキュリティについて、次のようにさまざまな資料を提供している。
<経済産業省>
(http://www.meti.go.jp/policy/netsecurity/strategy.htm)
【情報セキュリティ監査制度関連】
・情報セキュリティ管理基準
・個別管理基準(監査項目)策定ガイドライン
・情報セキュリティ監査基準
・情報セキュリティ監査基準実施基準ガイドライン
・情報セキュリティ監査基準実施報告ガイドライン 等
【その他セキュリティ関連】
・情報システム安全対策基準(1995/8/29制定)
・コンピュータウィルス対策基準(1995/7/7制定)
・ソフトウェア管理ガイドライン(1995/11/15策定)
・コンピュータ不正アクセス対策基準(2000/12/12改定)
<IPA(独立行政法人情報処理推進機構)>
(http://www.ipa.go.jp/security/awareness/awareness.html)
IPAのホームページには、対象者別など、さまざまなセキュリティの情報が掲載されている。
お客様から信頼を得るための安全管理
ここで、すべての安全管理措置について紹介することはできないが、お客様の視点から、安全管理措置について考えてみよう。
個人情報とは、本人の人格に関わる情報だと考えることができる。自分の情報を大事に扱ってくれない会社に対して、お客様が信頼してくれるであろうか? お客様の個人情報は、お客様自身として考え適切に取り扱うことが重要なのである。
ヨーロッパでは、個人の人格を尊重する意識が浸透しており、相手の情報を大事に扱うという行動が、当たり前になっているそうである。お客様の視点から見た、情報漏洩の危険性の高い会社の見分け方についてのチェックシートを用意した(図表4)。
御社にいくつ当てはまるか、確認してみていただきたい。
著者
當摩 祐子(株式会社シーピーデザインコンサルティング コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター)
2006年9月末現在の法令等に基づいています。
