カテゴリ:誰でも簡単【個人情報保護】( 46 )

2005年 09月 08日
誰でもわかる!簡単【個人情報保護法】⑥ ~ガイドライン解説1:個人情報とは~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」についての解説の第一弾です。
まずは基本的なことから。個人情報とは何を指すのでしょう?
個人情報保護法では、

法第2条第1項
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。


と定義されています。簡単に言うと、個人情報とは「生きている人を識別できる情報」ということになります。
この「個人情報」の定義について、ガイドラインでは、具体例を挙げて説明されています。

【個人情報に該当する事例】
事例1) 本人の氏名
事例2) 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
事例3) 防犯カメラに記録された情報等本人が判別できる映像情報
事例4) 特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)
事例5) 特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
事例6) 雇用管理情報(会社が従業員を評価した情報を含む。)
事例7) 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。)
事例8) 官報、電話帳、職員録等で公にされている情報(本人の氏名等)


これらの事例を見ると、個人に関する情報のほとんどが「個人情報」に該当するといっていいでしょう。
たまに、「ホームページに掲載されている個人名や連絡先といった情報は個人情報か?」や「名刺は個人情報か?」といった質問を受けますが、公開されているか否かは問題ではなく、「個人情報」に該当するといえます。

ただ、注意が必要なのは、「個人情報」に該当するからといって、全てを厳重に管理する必要性は無いということです。情報の内容や、情報の形態によって管理方法は変わって当然です。例えば、同じ紙媒体でも、「クレジットカード決済の明細控え」と「名刺」を同じように管理する必要はありません。前者は、施錠したキャビネット等で保管し、会社として「収集・利用・廃棄」の管理ルールを定めておくべきでしょう。しかし「名刺」は常時施錠したキャビネットに保管しておく必要は無いでしょう。

「個人情報」に該当する全ての情報(とその記録媒体)を同じように管理するのではなく、自社にとって重要な情報は何なのか?といった事を見極め、重要な情報から優先的に対策を打っていく事が、効率的に個人情報保護を進めるポイントです。
[PR]

by office-izutani | 2005-09-08 23:12 | 誰でも簡単【個人情報保護】
2005年 09月 02日
誰でもわかる!簡単【個人情報保護法】⑤ ~個人情報保護法への対応方法は?~
今年の4月に施行された個人情報保護法ですが、この法律には、個人情報の取り扱いに関する基本的な事項が記載されているだけで、具体的な対策についてはほとんどありません。
個人情報保護は、取り組む企業の規模や業種によって具体的な取り組みが違います。法律によって一元的に規制された場合、事業活動に支障をきたすこともあるからです。
しかし、いざ、取り組みを始めようと思うと、やっぱり目安や基準が欲しくなります。対策をどこまでやるかを決めることができなければ、取り組みを始めることもできませんしね。

そこで、必要になるのが各省庁が策定された「ガイドライン」や「指針」です。
民間事業者を対象にしたガイドラインが21分野について所轄する各省庁から出ています。

特に、経済産業省が策定した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf)」はほとんどの企業が適用されます。そのため、何をすべきか、何をしたら良いのかが、具体的に記載されていることもあり、個人情報保護への取り組みを始める前に一度は目を通しておいていただきたいものです。
このガイドラインには、明確な「基準」としての項目が次のように定められています。

本ガイドライン中、「しなければならない」と記載されている規定については、それに従わなかった場合は、経済産業大臣により、法の規定違反と判断され得る。

この項目については、絶対に対応しておきたいですね。
また、やったほうが良い「目安」としてはの項目については、

一方、「望ましい」と記載されている規定については、それに従わなかった場合でも、法の規定違反と判断されることはない(Ⅲ.参照)。しかし、「望ましい」と記載されている規定についても、個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに配慮して適正な取扱いが図られるべきとする法の基本理念(法第3条)を踏まえ、個人情報保護の推進の観点から、できるだけ取り組むことが望まれるものである。

とされています。この項目については、できる範囲で取り組みだけでも構わないと解釈することができます。(当然、情報漏えいのリスクに応じた対策が必要になりますが)
これら「基準」と「目安」を参考にしながら、個人情報保護への取り組みを始めてみてください。

※次からは、このガイドラインの解説をしていきたいと思います。
[PR]

by office-izutani | 2005-09-02 23:37 | 誰でも簡単【個人情報保護】
2005年 08月 25日
誰でもわかる!簡単【個人情報保護法】④ ~個人情報漏えい事故は防げるか?~
個人情報保護法が施行されて、5ヶ月が経とうとしていますが、個人情報の漏えい事件が後を立ちません。今月に入ってからだけでも、主なものだけでも以下のような事件があります。

・顧客情報8297件が保存されたパソコン1台を紛失
http://speed.sii.co.jp/pub/corp/pr/newsDetail.jsp?news=1166

・パソコン3台盗難で顧客情報1万件を紛失
http://www.daikin.co.jp/press/2005/050805/index.html

・パソコン盗難で医療関係者5757名分の個人情報を紛失
http://www.kirin.co.jp/company/news/oshirase/050808.html

・サーバへの不正侵入で個人情報が発生。閲覧可能に
http://www.art-shiga.net/

・百貨店の売り場で378名分の顧客リストを紛失
http://www.d-kintetsu.co.jp/abenonews/kokuchi/index2.html

・個人情報入りパソコンと名簿が営業車ごと盗難
http://www.santen.co.jp/ir/jp/news/pdf/20050812.pdf

・プログラムのバグで顧客情報が流出した可能性
http://www.toyota.co.jp/announcement/050810.html

・個人情報保護の講演会で漏洩事故
http://www.jipdec.jp/ov/050809.pdf

・携帯サイトの不具合で他の顧客情報を表示
http://www.sumisho-otto.com/store/promo/052/0804/index.aspx

・宅配便の宛名ラベル貼付ミスで顧客情報を流出
http://www.sonymagazines.jp/popup2.html

・メール誤送信で顧客170名のアドレス流出
http://www.tepco.co.jp/kaifuku/kojin/jishou/05081801-j.html

これらの事件を見てみると、漏えいした個人情報の本人に実害が出るような2次被害は少ないようです。盗難されても、情報が流出しないようなデータ暗号化やパスワード設定等の対策は進んでいるようです。
ただ、事件として、取り上げられれば、会社にとってはマイナスです。。
特に、最近では、このように個人情報の漏えい等の事故が発生した場合は、件数が少なくても、公表されるようになっています。
個人情報が漏えいした場合は、本人への謝罪等の直接的な影響だけでなく、社会的なイメージといった間接的な影響が大きくなっています。
これらの影響を考慮した上で個人情報保護に取り組む必要があるでしょう。
まず、一番大事なことは、に漏えい等の個人情報事故の発生の可能性を限りなくゼロに近づけるよう、リスクの分析と対策を行うこと。
次に大事なことは、事故が発生した場合に2次被害が広がらないような対策を打っておくこと。
3番目に大事な事は、万が一事故が発生した場合の事を想定して、その対応方法を決めておくこと。
そして、最後に、これらの事を、継続して維持・実行できるような、仕組みを作ることが重要となります。
[PR]

by office-izutani | 2005-08-25 23:09 | 誰でも簡単【個人情報保護】
2005年 08月 19日
誰でもわかる!簡単【個人情報保護法】③ ~プライバシーマークは必要か?~
個人情報保護の話題があると、必ず出てくるプライバシーマーク。(P-Markとも呼ばれています。)最近では、プライバシーマークが無いと仕事が出来ないといった話もよく聞きます。

プライバシーマークは、日本情報処理開発協会(JIPDEC)が運営する個人情報保護の制度です。
個人情報を適切に取り扱っている組織を一定の基準で審査し、認定されると、プライバシーマークの使用が認められます。

認定の基準はJIS Q 15001というマネジメントシステムの規格で、個人情報保護法の基準より高めに設定されていると言われています。ですから、個人情報保護法を守っている事を、目に見える形でアピールできるのです。

プライバシーマークは、個人情報を大量に扱うシステム開発の業界や、データ入力業を始め、人材派遣業、印刷業界で取得が進んでいます。これは取引先から、要請で、「プライバシーマークが無いと個人情報を取扱う業務を委託出来ない」といった点が大きいようです。
逆に、一般の顧客から個人情報を収集する業種の小売業やサービス業では、それほど取得は進んでいません。これまでポイントカードや会員カードを作る際に、確認してもプライバシーマークを目にする事はほとんどありませんでした。

しかし、最近になって、少しずつですが、プライバシーマークを取得する小売業、サービス業の企業も増えているようです。(例えば、家電販売の上新電機は今年の5月に取得しています。)
また、現在、まだ認定はされていないが、取得に向けて取り組み中という企業も多いようです。

それでも、認定を受けているのが1888社(2005年8月17日現在)という数字を見てもわかるように、取得企業はけっして多くはありません。これから取得について検討されている企業も多いでしょう。
企業におけるプライバシーマークを取得する必要性の判断基準は、どのようにすれば良いのでしょうか。

【必要性:大】
一定規模以上の企業で、個人情報を他社から預かるような委託業務を主たる業務としている場合は、早急に取得に取り組むべきでしょう。このようなケースでは、既に取引先から取得を要請されている企業も多いと思います。個人情報保護では、預託先管理が重要な管理項目の一つとなるため、プライバシーマーク取得企業でないと、仕事が出せない、といった事が起こってしまうのです。

【必要性:中】
一般の人の個人情報を収集し、利用しているような場合は、なるべく早く取り組みを開始した方が良いでしょう。個人情報を保有していることは、リスクです。そのリスクを回避するためには、社員教育、システム管理といった個別の対応だけではカバーできず、PDCAサイクルによるマネジメントシステムでの管理が必須です。また、包括的な個人情報保護への取り組みを実施するにしても、やはり明確な目標があった方が、効果は高いからです。

【必要性:小】
個人情報を取り扱う業務が主たる業務ではない場合は、取り組みにあたり注意が必要です。例えば、製造業を営む企業が、自社商品を販売する直販サイトを立ち上げているようなケースです。プライバシーマークは、ISO9001等と違い、会社組織全体を認証の単位としています。このようなケースの場合、社員の大半を占める、製造部門と、直販サイトを運営する部門との意識の差が大きく、上手く機能しないといった事が起こりえます。

【必要性:無】
規模も小さく、売り上げも安定しない企業。プライバシーマークを取れば仕事が増える訳ではありません。当たり前のことですが、やはり売り上げアップのために営業等に力を入れるべきでしょう。


ここに挙げたのはあくまでも判断基準の一例ですが、プライバシーマークの取得は簡単ではなく、また、維持にもコストがかかるということを念頭に入れて、検討されてみてはいかがでしょうか。
[PR]

by office-izutani | 2005-08-19 09:13 | 誰でも簡単【個人情報保護】
2005年 08月 16日
誰でもわかる!簡単【個人情報保護法】② ~他の会社はどの程度やってるの?~
個人情報保護に取り組む時に、やっぱり気になるのは他社の動向。「知り合いの会社でプライバシーマークを取ったって話を聞いたけど、うちでも必要なのかな?」「コストをかけずに個人情報保護対策をやりたいけど、他の会社はどれだけやってるの?」なんて思われる経営者の方も多いのではないでしょうか。

京都市が7月27日に発表した京都市内の中小企業を対象とした個人情報保護法に関する調査結果を発表しました。
http://www.city.kyoto.jp/sankan/keiki/keikyo/20050728-01.pdf

この調査結果を見ると、個人情報保護法の施行に伴い個人情報保護法への対策を取っている中小企業はたったの2割となっています。

また、NRIセキュアテクノロジーズ株式会社の調査でも、個人情報保護法への対応が完了したと考えている企業は約2割となっています。
http://www.nri.co.jp/news/2005/050720.html

「なんだ2割か、じゃあ、うちも別に必要ないかな。」と思った方、ちょっと待ってください。
業種や規模によっては、既にほとんどの企業が何らなの対応をしています。
特に個人情報を5000件以上取り扱う「個人情報取扱事業者」に該当する企業では、該当しない企業に比べて、対策を実施している企業が多いようです。

また、対策の必要性について6割の企業が「必要だ」と感じながらも、具体的な対策ついては「わからない」といった回答も多いようで、個人情報保護が十分に認識されていないように思います。
「大切なのはわかるけど、何をしたらいいのかわからないし、出来ることなら余計な事はしたくないなあ」といったところでしょうか。

ただ、多くの企業が重要性を感じつつも、取り組めていない現在の状況は、まだ他社と差別化するに十分なチャンスといえます。

今からでも遅くはありません。少しずつでも自社の個人情報の取扱状況を見直してみてはいかがでしょうか。
[PR]

by office-izutani | 2005-08-16 07:59 | 誰でも簡単【個人情報保護】
2005年 08月 08日
誰でもわかる!簡単【個人情報保護法】①
個人情報保護法が施行されて4ヶ月がすぎましたね。

・事前に、プライバシーマークの取得に取り組んだ会社、
・法律の施行がされる直前に、大慌てで本を買い込み対策をとった会社、
・未だ何もやっていない会社

様々あると思います。

しかし、これからの時代、どのような企業も何らかの形で個人情報保護に取り組まざるを得ないですね。

何故かって?それは、個人情報を保有しない会社は無いからです。(きちんと事業活動を行っている場合に限りますが)
社員や採用者などのいわゆるインハウス情報はどの企業でもあります。
個人情報保護法でいう個人情報データベースには含まれないケースもありますが、取引先からの名刺も立派な個人情報です。

そんな事いったって、うちは5000件も情報を持っていないから、個人情報保護法で定められた個人情報取り扱い事業者にあたらないし、関係ないよ。
なんて思われる方もいらっしゃるかもしれません。

しかし、個人情報を多く保有し活用している企業はもちろん、個人情報の少ない企業なら、少ない企業なりに、何らかの対策は必要です。

多くの企業が個人情報保護に取り組む今だからこそ、「名刺」や「取引先のメールアドレス」「応募者の履歴書」といった、どのような企業でも取扱う個人情報の管理は重要になっています。
個人情報保護は、その企業の情報管理能力を見る一つの指針といえるのです。

だからと言って、個人情報保護に取り組みなんて、どこまでやったら良いのかわからない。という方も多いと思います。
これから、このBLOGで、わかりやすく個人情報保護を解説していきたいと思います。

宜しくお願いします。
[PR]

by office-izutani | 2005-08-08 21:47 | 誰でも簡単【個人情報保護】