個人情報保護法の全面施行まであと半年。準備不足の企業はもちろん,万全の対策を施している企業においても,この半年間で対応状況を再度チェックし,準備不足のないことを確認したほうがよいだろう。そこで本稿では,個人情報保護法に対応するためのポイントをいくつか紹介したい。重要なことは,企業が保有する個人情報のありかや,その取り扱い手順(フロー)などをきちんと把握しておくことだ。

保有する個人情報を把握する

 個人情報保護法によって,個人情報を取り扱う事業者にはいくつかの責務が課せられる。この責務を果たすためにまず実施すべきことは,自らが保有する個人情報を的確に把握することだ。「保護法の対象になるような個人情報を保有しているのか」「その情報はどこに保存されているのか」「その情報をどのように取り扱っているのか(取り扱いのフローはどうなっているのか)」――などを把握していなければ,個人情報保護法やJIS Q 15001が求める体制や仕組みをいくら備えていても無意味である。そもそも,本来の目的である「個人情報を業務に活用する」こともおぼつかない。

 注意してほしいのは,保護法の対象にならないからといって,個人情報をぞんざいに扱ってよいということではない。保有する個人情報が5000件未満でも,業務において不可欠な情報であれば,個人情報保護法に準じた対策が必要だと考えるべきだ。保有する個人情報が5000件未満なら,万一漏えい事件を起こしたとしても個人情報保護法による責めは受けない。しかし,信用の失墜は避けられない上に,損害賠償を求める訴えを起こされる可能性がある。企業にとっては大きなダメージを受ける恐れがあるのだ。

個人情報の洗い出しは全部署で

 まず確認すべきは,「保有する個人情報の一覧が存在するかどうか」ならびに「一覧に基づいて情報が管理されているかどうか」である。一覧が存在しない,あるいは存在しても実質機能していない場合には,保有する個人情報を洗い出す必要がある。

 個人情報を洗い出す際に重要なことは,その作業を企業内に広く展開するということである。具体的には,一部の担当者だけで全部署の個人情報を洗い出すのではなく,各部署それぞれに担当者を置いて実施するのである。こうすることで,全部署を巻き込んだ作業が可能となる。

 それぞれの担当者は自分の部署の業務に精通しているので,的確に洗い出せる。加えて,洗い出しの作業を通して,一人ひとりが部署内の個人情報に対して,その必要性や有効性,保持することによる脅威といったものを改めて認識できる。このような意識付けを事前にしておけば,万が一漏えい事件などが発生した場合にも迅速に対応できるだろう。

 個人情報の洗い出しにおいては,コンピュータ・システムに保存している情報だけではなく,文書情報も対象であることを忘れないようにする。実際,単なるメモ書きから,企業の重要情報が漏えいした事例がある。

 文書情報は,その取り扱い方法を明確にしていない場合には,管理が社員任せになる。つまり,アクセス・コントロールのすべてが運用者に任されることになる。このため,分散して保管されたり,放置されたりすることが多い。文書情報には,電子情報とは異なる脅威が存在する。洗い出しの際には,そのことも念頭に置いて実施してほしい。

 個人情報の洗い出しが終了したら,次に,その情報を利用している業務を特定する。そして,その業務において,個人情報をどのように取り扱っているのか,つまり,どのように収集/利用/廃棄しているのかを明らかにする。明らかになったら,“フロー図”を作成する。フロー図には,委託や提供といった外部との情報のやり取りも記入する。こうすることで,個人情報の“ライフサイクル”を可視化することできる。フロー図は,個人情報保護法対策としてだけではなく,情報を活用する上でも大変有用なので,作成することをお勧めしたい。

「脅威=リスク」ではない

 個人情報のフローを明らかできたら,個人情報の活用における脅威を想定する。ここでは,脅威の具体例は割愛するが,情報の受け渡しや一時的な保管,廃棄といったところに,多くの脅威を想定できるだろう。

 個人情報に対する脅威を洗い出したら,その脅威が実際にリスクを生み出すかどうかを考える。たとえ脅威はあっても,その脅威に対する脆弱点が存在しなければリスクを生むことはないため,「脅威=リスク」ではない。リスクの存在を確認した上でリスクに応じた必要な管理策を策定し,適用する。ここで注意すべきは,管理策の選択において,リスクの低減ばかりに目が向くと,無駄な手順やコストを生んでしまうということだ。リスクと共に業務のフロー図を活用して,担当者や運用者への負荷を見積もりながら策定することが重要である。

 セキュリティ・ポリシーをベースに,技術面ばかりではなく,運用面や教育面での対策を組み合わせて,利便性を確保しながら,必要な安全性も確保する――。そういった管理策ならば,担当者や運用者の負担にならず,かつ個人情報を安全に保つために有効なものとなるだろう。

 情報漏洩等の事故発生を想定した対策と訓練も重要である。どれだけ万全の体制を敷いても,事故発生の可能性をゼロにはできない。説明責任を果たし情報主体におけるニ次被害を防ぐためにも,事故時の対応策を作成することは不可欠である。


東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 コンサルティング事業部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。