2005年 11月 25日
誰でもわかる!簡単【個人情報保護法】22 ~ガイドライン解説11:技術的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の11回目です。今回は、ガイドラインで安全管理措置として定められた4項目の最後の項目、「技術的安全管理措置」についてです。

この項目では、
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等
について定められています。
コンピュータや情報記録媒体、ネットワークに関するセキュリティについての情報セキュリティの分野です。
ここでは以下の8項目について要求されています。

①個人データへのアクセスにおける識別と認証
②個人データへのアクセス制御
③個人データへのアクセス権限の管理
④個人データのアクセスの記録
⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
⑥個人データの移送・送信時の対策
⑦個人データを取り扱う情報システムの動作確認時の対策
⑧個人データを取り扱う情報システムの監視

ここで要求された項目については、

 「言葉の意味はなんとなくわかるけど、じゃあ、いったいどうしたら良いの?」

という方が多いのではないでしょうか。

ということについて定められています。

ここでも、具体的な事例を【各項目について講じることが望まれる事項】として挙げられています。(同様のチェックリストを作成しましたので、参考にしてください。)
しかし、この事例についても、どのような機器が必要なのか?どのようなソフトを活用すれば良いのか?といったことまでは、記載されていません。
やはり、リスクに応じた対策を選定して実施する必要があるのです。
そのためには、社内の個人情報の洗い出しを行い、個人情報や重要な機密情報を取り扱う機器やネットワークの環境を把握する必要があります。
重要な情報を取り扱わない機器等に過剰なセキュリティ機器を導入しても仕方ないのです。
チェックリストなどを上手く活用してみてください。

また、この分野については、専門的技術の知識が必要とされる分野です。

ITベンダーの言われるがままに過剰な機器を導入したり、
聞きかじった知識から、対策が偏ってしまったり、

といったことがおこりがちです。
信頼できるベンダーから適切な情報を得て、社内で十分に検討しながら、進めていくことが重要です。
[PR]

by office-izutani | 2005-11-25 12:16 | 誰でも簡単【個人情報保護】


<< 誰でもわかる!簡単【個人情報保...      誰でもわかる!簡単【個人情報保... >>