ページの先頭です。

2006/07/17 11:00

連載

[週刊BCN 2006年07月17日付 Vol.1146 掲載]

情報漏えい対策は十分か
TBCソリューションズ 主任コンサルタント 植野俊雄

 個人情報や企業秘密情報の漏えいが相次いで発生し、各事業者が十分な対策を実施しているかどうかが、再度問われている。

 個人情報保護法の義務に対してきちんと対応している、または、さらにJIS Q 15001規格に則ってプライバシーマーク(Pマーク)の認定を受けている、したがって十分対応していると安心している経営者も多いと思われる。

 個人情報保護法もPマークのJIS Q 15001規格も、OECD(経済協力開発機構)プライバシー・ガイドライン8原則に沿って、(1)利用目的を明確にする(2)適法で適正な手段で取得する(3)目的外の利用をしない(4)データを完全で最新の状態に保つ(5)データを安全に保護する(6)個人情報の取り扱いを公開する(7)個人情報の開示・訂正等の要求に応じる(8)個人情報の管理責任者を明確にする──の実施を求めている。

 8原則のうち「利用目的、取り扱う個人情報の公表、開示・訂正対応、管理者の明確化」は外形上から実施していることが確認できる。また「適正な手段での取得、目的外利用防止、データを完全で最新の状態に保つ」は、社内規定や業務手順書などによってルール化がされているかどうかで確認できる。しかし「データを安全に保護する」については、社内規定や業務手順書などで定めたルールの存在は確認できたとしても、それで本当に安全なのかは確認できない。

 JIS Q 15001では、安全管理措置として「個人情報の取り扱いの各局面におけるリスクを認識し、分析し、必要で適切な措置を講じなければならない」と定めている。

 したがって、「リスク認識」のための“リスクアセスメント”および「必要で適切な措置を講じる」ための“管理策の選択”が適切であるかが問われる。

 “リスクアセスメント”では、脅威とぜい弱性をいかに漏れなく想定したかが重要である。漏えいしてから「想定外でした」と弁解することのないようにすべきだ。“管理策の選択”では、リスクを低減できる有効な管理策(複数)を選択できたかが重要である。ISMS(情報セキュリティマネジメントシステム)のJIS Q 27002規格で推奨されている133の管理策を網羅的に検討することが、漏れのない対策の要といえる。

 さて、経営者の皆さん、社内が十分な“安全管理措置”になっているかどうかを一度見直してはいかがでしょうか。

■おすすめの記事





PR

週刊BCN購読のお申し込みはこちら

Bizline会員サービス(無料)のご案内 新規会員登録はこちら

 

PR










ITジュニアの広場

「ITセミナー・イベント」コーナーで注目商品・サービスなどのセミナーを一挙公開!

過去の掲載記事一覧

ITビジネス情報紙「週刊BCN」

ITビジネス情報誌「週刊BCN」
2016年09月12日付 vol.1644
失敗をどう乗り越えるのか オープンイノベーションへ! SIerの挑戦

2016年09月12日付 vol.1644 失敗をどう乗り越えるのか オープンイノベーションへ! SIerの挑戦

「週刊BCN」購読お申し込み
BCN Bizline ITを売るパートナービジネスの創造を

「BCN Bizline」は、株式会社BCNが保有する登録商標です。(商標登録番号第5388735号)