カテゴリ:誰でも簡単【個人情報保護】( 46 )

2005年 11月 30日
誰でもわかる!簡単【個人情報保護法】26 ~ガイドライン解説14:委託先の監督~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の14回目です。
今回は委託先の監督についてです。

個人情報保護法には

法第22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

と規定されています。

「適切な監督」の方法としては具体的に明記されているわけではありませんが、ガイドラインでは、【受託者に必要かつ適切な監督を行っていない場合】の事例があるので見ておきましょう。

【受託者に必要かつ適切な監督を行っていない場合】
事例1) 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
事例2) 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏えいした場合
事例3) 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合

事例1)では「個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず」となっていますので、契約締結後に委託先の安全管理状況を把握する措置が必要だということがわかります。どのように安全管理措置の状況を把握するか?という事については規定がありませんが、
 ・委託先に安全管理状況の報告書の提出を求める
 ・実際に委託先に行って安全管理状況を確認する
といった方法で実施するべきでしょう。この「安全管理措置状況の把握」は定期的に実施する必要がありますが、委託先の管理者が変更されたようなケースでは、随時報告を受けるようにしておきましょう。

事例2)では「安全管理措置の内容を受託者に指示せず」となっています。事例1)にあった安全管理措置は、委託先に委ねるのではなく、委託元の企業が実施事項を決め、指示しなければならないということです。

事例3)は再委託についてで、「再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り」となっています。委託先が別の企業に再委託する際の条件を決め、指示をすること、委託先と再委託先のデータの受け渡し方法や、再委託先へ提供されるデータの内容などの確認をとること、が必要ということです。

委託先と契約を結ぶ際にも、契約書に盛り込む項目が決まっています。

【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
●委託者及び受託者の責任の明確化
●個人データの安全管理に関する事項
●個人データの漏えい防止、盗用禁止に関する事項
 ・委託契約範囲外の加工、利用の禁止
 ・委託契約範囲外の複写、複製の禁止
 ・委託契約期間
 ・委託契約終了後の個人データの返還・消去・廃棄に関する事項
●再委託に関する事項
 ・再委託を行うに当たっての委託者への文書による報告
●個人データの取扱状況に関する委託者への報告の内容及び頻度
●契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
●契約内容が遵守されなかった場合の措置
●セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

これらの項目については、最低限決めておいた方が良いでしょうし、これらの事項について明確な回答が出来ない企業は委託先としては失格といえるかもしれません。
[PR]

by office-izutani | 2005-11-30 11:39 | 誰でも簡単【個人情報保護】
2005年 11月 29日
誰でもわかる!簡単【個人情報保護法】25 ~ガイドライン解説13:従業者の監督~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の13回目です。
今回は従業者の監督についてです。

個人情報保護法には
法第21条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

と規定されています。

従業者の管理は「組織的安全管理」「人的安全管理」でも記載されていましたが、ここで規定されているのは「監督」についてです。
規程を策定するなど社内ルールを作り(組織的安全管理)、教育を実施(人的安全管理」しても、実際に個人情報を取り扱う従業者が教育研修で理解し、社内ルールを守っているかを監督しなければいけないとされています。

なお、「従業者」とは、

従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等

とされています。社内で個人情報を取り扱う人、全てだと考えてよいでしょう。

具体的にどのような方法で監督をするべきか?ということですが、ガイドラインでは、残念ながらその方法は規定されていません。ただ、その反対の例として、【従業者に対して必要かつ適切な監督を行っていない場合】が挙げられています。

事例1) 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合
事例2) 内部規程等に違反して個人データが入ったノート型パソコンを繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失し、個人データが漏えいした場合

事例1)では 「あらかじめ定めた間隔で定期的に確認せず」とありますので、個人情報の取り扱い状況を定期的に確認する仕組みが必要だということです。社内監査以外にも、定期的な「自主点検」が必要ということでしょう。

事例2)では「その行為を放置した結果」とありますので、ノート型パソコンを持ち出す際に、個人情報が含まれていないかを確認する仕組み等が必要だといえます。

このような仕組み・ルールを導入する方法以外にも、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する方法もあります。

モニタリングの実施は、経営者の立場からすると、「安心感」を得るための有効な手法ですが、反面、モニタリングされる従業者の立場に立つと「不信感」の要因になりかねません。

「社長は私たち社員を信用していないのか?」

と思われ、労使の信頼関係にヒビが入る可能性が高いのです。

ガイドラインではモニタリング実施する際に留意する点として、以下の事項が挙げています。

・モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。
・モニタリングの実施に関する責任者とその権限を定めること。
・モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること。
・モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと。

これらの事項を定めるとともに、モニタリングの導入の際に、労使できちんと話し合いをしておく事が重要でしょう。
[PR]

by office-izutani | 2005-11-29 12:32 | 誰でも簡単【個人情報保護】
2005年 11月 28日
誰でもわかる!簡単【個人情報保護法】24 ~ガイドライン解説12:安全管理措置まとめ~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の12回目です。
先週から見てきた「安全管理措置」ですが、ボリュームが多かったので少し整理しておきたいと思います。

まず安全管理措置は

 ・組織的安全管理措置
 ・人的安全管理措置
 ・物理的安全管理措置
 ・技術的安全管理措置

の4つ項目にわかれています。
それぞれの項目ごとに
「講じなければならない事項」として更に詳細項目が決められています。具体的には

【組織的安全管理措置として講じなければならない事項】
 ①個人データの安全管理措置を講じるための組織体制の整備
 ②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
 ③個人データの取扱い状況を一覧できる手段の整備
 ④個人データの安全管理措置の評価、見直し及び改善
 ⑤事故又は違反への対処

【人的安全管理措置として講じなければならない事項】
 ①雇用契約時及び委託契約時における非開示契約の締結
 ②従業者に対する教育・訓練の実施

【物理的安全管理措置として講じなければならない事項】
 ①入退館(室)管理の実施
 ②盗難等の防止

【技術的安全管理措置として講じなければならない事項】
 ①個人データへのアクセスにおける識別と認証
 ②個人データへのアクセス制御
 ③個人データへのアクセス権限の管理
 ④個人データのアクセスの記録
 ⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
 ⑥個人データの移送・送信時の対策
 ⑦個人データを取り扱う情報システムの動作確認時の対策


 ⑧個人データを取り扱う情報システムの監視
 ③機器・装置等の物理的な保護

この詳細項目については具体的な対応策として「各項目について講じることが望まれる事項」が定められています。この事項については、「努力義務」でのので、必ずしも全てに対応する必要はありません。
ただ、実際に対策を実施する際の判断基準としては、非常に参考になるので、目を通してください。
これまで作成したチェックリストを一つにまとめました。是非ご活用ください。
[PR]

by office-izutani | 2005-11-28 11:21 | 誰でも簡単【個人情報保護】
2005年 11月 26日
誰でもわかる!簡単【個人情報保護法】23 ~プライバシーマークの取得と維持~
今週プライバシーマーク取得社数が2500社を超えました。
2000社を超えたのが9月ですから、この3ヶ月弱で500社の認定が決まったことになります。

個人情報保護法施行に合わせた形で、プライバシーマーク取得を目指し、今年の春に申請していた企業の認定が次々決まっているのでしょう。認定機関の審査もかなりの時間がかかっているようです。

この取得ラッシュの影に、プライバシーマークの使用を中止する事業者が77社もあるという事実もあります。主な理由は

・組織変更のため
・更新辞退

となっています。

前者は、最近多い企業同士の合併を理由にしたものが多いようです。プライバシーマーク認定企業同士が合併し、一つが必要なくなったというわけです。また、以前事業部単位で認定を取っていた企業が、会社全体で取り直したため、事業部単位の認定の使用を止めたケースもあります。(以前は、事業部単位でのプライバシーマーク認定が認められていたのです。)

後者は、更新を機にプライバシーマークの使用を自ら辞退するということです。この主な理由は2種類あると思われます。

一つは、プライバシーマークのメリットが無かったということ。個人情報の取り扱いがあまり無い企業が取得し、上手く事業に生かせなかったのではないかと思います。

もう一つはプライバシーマークを維持できなかったケース。
プライバシーマーク制度では更新時にも審査があります。この審査も年々厳しくなっていますので、当然、取得した2年前よりも厳しい基準を要求されます。また、プライバシーマークの認定基準であるJISQ15001は、マネジメントシステムの規格ですので、社内の仕組みをスパイラルアップしていくことが求められます。
ですから、プライバシーマークを取得する際に、きちんとした仕組みづくりが出来なかった企業は、維持が難しくなるのです。

企業に必要なのは
「プライバシーマークを取得するための仕組み」
ではなく
「プライバシーマークを維持し継続的に運用出来る仕組み」
なのです。
[PR]

by office-izutani | 2005-11-26 14:41 | 誰でも簡単【個人情報保護】
2005年 11月 25日
誰でもわかる!簡単【個人情報保護法】22 ~ガイドライン解説11:技術的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の11回目です。今回は、ガイドラインで安全管理措置として定められた4項目の最後の項目、「技術的安全管理措置」についてです。

この項目では、
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等
について定められています。
コンピュータや情報記録媒体、ネットワークに関するセキュリティについての情報セキュリティの分野です。
ここでは以下の8項目について要求されています。

①個人データへのアクセスにおける識別と認証
②個人データへのアクセス制御
③個人データへのアクセス権限の管理
④個人データのアクセスの記録
⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
⑥個人データの移送・送信時の対策
⑦個人データを取り扱う情報システムの動作確認時の対策
⑧個人データを取り扱う情報システムの監視

ここで要求された項目については、

 「言葉の意味はなんとなくわかるけど、じゃあ、いったいどうしたら良いの?」

という方が多いのではないでしょうか。

ということについて定められています。

ここでも、具体的な事例を【各項目について講じることが望まれる事項】として挙げられています。(同様のチェックリストを作成しましたので、参考にしてください。)
しかし、この事例についても、どのような機器が必要なのか?どのようなソフトを活用すれば良いのか?といったことまでは、記載されていません。
やはり、リスクに応じた対策を選定して実施する必要があるのです。
そのためには、社内の個人情報の洗い出しを行い、個人情報や重要な機密情報を取り扱う機器やネットワークの環境を把握する必要があります。
重要な情報を取り扱わない機器等に過剰なセキュリティ機器を導入しても仕方ないのです。
チェックリストなどを上手く活用してみてください。

また、この分野については、専門的技術の知識が必要とされる分野です。

ITベンダーの言われるがままに過剰な機器を導入したり、
聞きかじった知識から、対策が偏ってしまったり、

といったことがおこりがちです。
信頼できるベンダーから適切な情報を得て、社内で十分に検討しながら、進めていくことが重要です。
[PR]

by office-izutani | 2005-11-25 12:16 | 誰でも簡単【個人情報保護】
2005年 11月 24日
誰でもわかる!簡単【個人情報保護法】21 ~ガイドライン解説10:物理的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の10回目です。今回は、ガイドラインで安全管理措置として定められた4項目の3つ目の項目、「物理的安全管理措置」についてです。

この項目では、入退室管理や、盗難防止策等の、個人情報が記録された媒体や、取り扱う機器を物理的に守る方法について定められています。
ここで要求されることも、前回見た「人的安全管理措置」と同様、少なく、3つだけです。

①入退館(室)管理の実施
②盗難等の防止
③機器・装置等の物理的な保護

つまり、

・個人情報を取り扱う建物や部屋の人の出入りを管理すること。
・その部屋に入った人が情報を持ち出せないようにすること。
・天災や事故から機器を情報を守ること

ということについて定められています。

ここでも、具体的な事例を【各項目について講じることが望まれる事項】として挙げられています。
(同様のチェックリストを作成しましたので、参考にしてください。)

物理的安全対策の項目は、【各項目について講じることが望まれる事項】を見てもわかるように、実際に目に見える対策がほとんどですので、イメージが掴みやすいと思います。
この事項を実施することで、会社が個人情報保護に取り組む姿勢を社員に見せることで、全体の意識向上へとつながります。
是非、積極的に取り組んでいただきたい項目です。
[PR]

by office-izutani | 2005-11-24 10:21 | 誰でも簡単【個人情報保護】
2005年 11月 23日
誰でもわかる!簡単【個人情報保護法】20 ~個人情報漏えい事件に学ぶ2~
土曜日の記事でワコールの個人情報漏えいについてお伝えしました。ワコールでは、この事件発生後、専用のホームページを設けて、被害内容や調査状況、問い合わせ窓口等について公表しました。
今回はその後の経過を見てみることにしましょう。

ワコールが設けた「お客様情報の流出に関するお詫びとご説明」というホームページでは、事件発表からの最新情報を随時公表しています。
最新情報のページを見ると、
 事件を発表した19日に、データが流出した顧客に対し、お詫びのメールを送った。
 その後、22日には郵送でもお詫び状を出した。
といった、顧客への対応の状況を知ることができます。

また、「よくいただくご質問」というFAQのページをつくっています。
内容は、以下のような項目です。(11月23日現在)


状況・経緯について
Q. 今回起こったデータ流出の内容はどのようなものか?
Q. データ流出がわかったのはいつか?またどうして気づいたのか?
Q. 最初に問い合わせがあったのは7日なのに、発表が19日になったのはなぜ?
Q. 対象となるお客様の人数は?
Q. 流出したデータには、オンラインショップのお客様という以外に、何か共通するものはあるか?
Q. 流出が生じたのはNECネクサソリューションズ株式会社のサーバーからだけか?
Q. サーバーにあったデータは、オンラインショップのお客様のものだけか?
Q. 氏名のデータは流出していないのか?
Q. 不正使用があったのは具体的にどこのサイトか?
Q. 対象となっているデータの具体的なカード会社名は?
Q. お客様から流出データを不正使用されたとの連絡や問い合わせはないのか?また不正使用された件数は?
Q. クレジットカード不正使用の被害総額はどのくらいか?
お客様対応について
Q. クレジットカードでお客様が被害を受けた場合、被害額はどこが補填するのか?
Q. データ流出が判明しているお客様への連絡・対応はどのようにしているのか?
Q. カード会社のお客様への対応はどのようになっているか?
原因究明、今後の対策、届け出について
Q. 不正アクセスとは、具体的にどんなことが起こったのか?
Q. 不正アクセスの原因は何か?またいつ頃までに究明するのか?
Q. 今後の防止策は?
Q. 相談した警察はどこの警察か?被害届は提出したのか?
Q. 監督官庁への個人情報流出の届け出はおこなったか?
Q. オンラインショップはいつから再開の予定か?
Q. 問い合わせ窓口の電話の回線数は?
Q. 問い合わせ窓口はいつまで設置する予定か?


これを見ると顧客の不安が少しでも減るような、幅が広く、細やかな情報公開をしています。

このようなFAQのページを作る効果は、顧客の不安を減らすだけではありません。
顧客からの電話、メールなどの問い合わせ数を減らしたり、問い合わせの対応の手間を減らす効果があります。

ただ、これは今回の事件がネットショッピングサイトでの情報漏えいという事件であったため、顧客の多くがインターネットを使える環境にあるという前提で、このような対応がされたのだと思われます。
顧客対応には、顧客の属性にあった対応が重要ですね。
[PR]

by office-izutani | 2005-11-23 11:41 | 誰でも簡単【個人情報保護】
2005年 11月 22日
誰でもわかる!簡単【個人情報保護法】19 ~ガイドライン解説9:人的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の9回目です。今回は、ガイドラインで安全管理措置として定められた4項目の2番目のの項目、「人的安全管理措置」についてです。

この項目では、社内で個人情報を取り扱う従業者に対する機密保持契約や、教育・訓練について定められています。
この項目は約1ページ分ほどでボリュームも少なく、書かれてあることもシンプルです。

この項目で規定されている義務事項は2つだけです。

【人的安全管理措置として講じなければならない事項】
①雇用契約時及び委託契約時における非開示契約の締結
②従業者に対する教育・訓練の実施


ここでも、具体的な事例を【各項目についてこじることが望まれる事項】として挙げられています。組織的安全管理措置の項目と同様のチェックリストを作成しましたので、参考にしてください。

人的安全管理措置は項目数が少ないので、読みとばしがちですが、従業者の「教育」という重要な内容が含まれています。
いくら良い仕組みを作ったとしても、効果的な「教育」を実施しなければ、個人情報の漏えいリスクは減りません。

【各項目についてこじることが望まれる事項】で挙げられている

・個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
・個人データ及び情報システムの安全管理に関する従業者の役割及び責任についての教育・訓練の実施
・従業者に対する必要かつ適切な教育・訓練が実施されていることの確認

は実施すべきでしょう。

教育の手法ですが、イーラーニングや研修など様々な方法があります。教育は「一度やったらおしまい」ではなく、定期的に実施することが必要になります。教育ツールを選択される場合も、少なくとも年一回以上のフォローアップの仕組みがあるということをポイントに選ばれると良いでしょう。
[PR]

by office-izutani | 2005-11-22 09:47 | 誰でも簡単【個人情報保護】
2005年 11月 21日
誰でもわかる!簡単【個人情報保護法】18 ~ガイドライン解説7:組織的安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の8回目です。今回は、ガイドラインで安全管理措置として定められた4項目の最初の項目、「組織的安全管理措置」についてです。

この項目では、体制を整備したり、規定を設けたり、台帳管理をしたりといった、個人情報の管理の仕組み作りについて定められています。
この項目だけで6ページにも及び、実施事項について細かく記載されているので、

「こんなにやらなくちゃいけないの?」

と、ウンザリしてしまい、中身を見るのも嫌になってしまいそうですが、具体例を交えて記載してありますので、大変参考になる項目です。全体の構成を確認しながら見ていきましょう。

ここで重要なのが、「しなければならない」と記載された義務規定と「することが望まれる」と記載された努力義務規定についてです。

この項目で規定されている義務事項は以下の5つの項目です。

【組織的安全管理措置として講じなければならない事項】
①個人データの安全管理措置を講じるための組織体制の整備
②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
③個人データの取扱い状況を一覧できる手段の整備
④個人データの安全管理措置の評価、見直し及び改善
⑤事故又は違反への対処

ただ、これらの項目については、漠然としていて、具体的に何をすれば良いのか、イメージがつきにくいでしょう。そこで、努力義務の規定として、【各項目について講じることが望まれる事項】で具体例を挙げて、こういう事はやった方がいいですよ。と記載しているのです。ただ、努力義務の規定ですから、会社ごとに必要な項目を出来る範囲でやれば良いということです。
簡単なチェックリストを作成してみました。自社に必要な項目は何か、確認してみてください。)

さらに、この項目の後半には、②個人データの安全管理措置を定める規程等の整備と規程等に従った運用で定められた規程の内容についていも定められています。
以下のような個人情報の取り扱いの流れに従い、それぞれ規程に記載することがのぞまれるとしています。
 (ⅰ)取得・入力
    ↓
 (ⅱ)移送・送信
    ↓
 (ⅲ)利用・加工
    ↓
 (ⅳ)保管・バックアップ
    ↓
 (ⅴ)消去・廃棄

ここで、注意していただきたいのが、ガイドラインに記載された項目を規程にしてしまってはいけないということです。企業によっては当然必要ない項目もあります。さらに出来ない項目を規程に記載すると、規程が形骸化してしまう恐れがあるからです。
これについても、十分内容を確認した上で、規程を作成する必要があるでしょう。
[PR]

by office-izutani | 2005-11-21 09:27 | 誰でも簡単【個人情報保護】
2005年 11月 20日
誰でもわかる!簡単【個人情報保護法】17 ~個人情報漏えい事件に学ぶ~
女性用下着メーカーのワコールは、ネットショッピングサイトの顧客4757人分の個人情報が漏えいしたと発表しました。原因はサーバーへの不正アクセスで、住所や電話番号、クレジットカード番号や有効期限が流出しているとのことです。

不正アクセスされたサーバーは、委託先のNECネクサソリューションズ大阪データセンターが管理しており、両者で協力して調査するとされています。

今回の事件では、クレジットカード情報が流出しているため、クレジットカードの不正使用という被害が出ています。カード会社の対応によって、実害はないということですが、カード変更手続の手間など、ユーザーに被害を与えていることには違いありません。
このような事件は、ECサイト利用の不安増大といった社会的悪影響を及ぼすことで、他の多くの企業に対しても間接的な被害を与えてるともいえます。

今回の事件でワコールは、お客様情報の流出に関するお詫びとご説明というページで、被害内容や調査状況、問い合わせ窓口等について公表しています。
11月19日の土曜日という会社休業日でありながら、発表に踏み切ったため、まだ事件について知らない従業員向けの通知も行っています。
個人情報漏えいを発生させ、消費者に被害を与えたことは、大きな問題です。
ただ、このような発表をすばやく実施することは、企業の対応としては評価できる点ではないでしょうか。
(もちろん、今後の発表の状況にもよりますが。)


このような事件を見て、

 大企業だって結構管理が甘いんじゃないか?
 組織が大きすぎて、管理体制が機能していなんじゃないの?

なんて、批判をすることは簡単です。
しかし、自社にこのようなことが発生したときに、同様に対応できるでしょうか?
他社の事例を見て学ぶことは多いですよ。
[PR]

by office-izutani | 2005-11-20 11:21 | 誰でも簡単【個人情報保護】