シマンテックは25日、個人情報の保護などをテーマに企業セキュリティに関する報道関係者向けワークショップを開催した。三菱総合研究所(MRI)情報通信政策研究部の松尾正浩氏らが講演した。
松尾氏はまず、各企業の個人情報保護対策の状況について解説。「個人情報保護法が2005年4月に完全施行されるため、ここ3カ月で情報システムや管理体制の強化、従業員および派遣社員向けの教育、セキュリティポリシーや運用ルールの厳格化などが進んでいる」という。今後の対策としては、「1割強が財団法人日本情報処理開発協会が認定する『プライバシーマーク』の取得を目指している」とした。
● 営業マンが聞き出した趣味などの個人的な情報も、「個人情報」に該当
続けて、「対策そのものは進んでいるようだが、実際に運用するのに困難が生じている」と分析。「扱っている情報が個人情報に該当するかどうか、仕事の中でどういったことが個人情報保護に反するかといった判断が難しい」という。
例えば、新商品の案内をメールで送る時に、旧製品のユーザーのメールアドレスを使用していいのか、なじみの取引先に自社の従業員名簿を貸し出すことに問題はないかといった場合だ。
松尾氏は、「メールアドレスなどの個人情報は、収集時に利用目的を明示する必要がある。もし、明示していない目的に利用するのであれば法律違反になる可能性が高い」と警告。また、営業マンが訪問先の社長から個人的な趣味を聞き出して得た情報も個人情報となるため、注意が必要だ。「趣味や家族構成などを聞いて、営業日誌に書き込むときは個人情報として扱う必要がある」と述べた。
|
|
MRIの松尾正浩氏
|
営業マンの1日をシミュレートし、個人情報との関わりを説明
|
● データベースを分割しても、統合時に個人が特定できれば「個人情報」となる
|
個人情報の定義
|
そもそも、個人情報とはどういった情報なのだろう。個人情報保護法による定義は、「生存する個人に関する情報で、住所や名前などで特定の個人を識別できる情報」だ。松尾氏によれば、「たとえ分割していても、統合した場合に個人を特定できる情報になるのであれば、それは立派な個人情報。よく、データベースを分割しているから大丈夫なのではという声も経営者などから聞くことがあるが、それは認識を改めたほうがいい」という。
また、個人情報にも分類がある。特定の個人を特定できるという個人情報の大きな枠組みの中で、体系的に整理され、データベース化して検索性を有するものを「個人データ」とし、さらに個人データのうち、保有期間が6カ月以上に及ぶものを「保有個人データ」と定義している。なお、「個人情報の総数が5,000件以内だからデータを自宅に持ち帰っても問題ないという事業者もいるが、明らかに勘違い。5,000件という数字は個人情報取扱事業者かどうかの基準であって、扱う情報が個人情報かどうかを判断する情報ではない」と述べた。
個人情報保護法では、こうした分類に応じた「義務」も定めている。個人情報全体に関わる義務としては、「利用目的の通知」だ。さらに個人データと保有個人データに関わる義務としては、「安全管理措置の義務」「第三者への提供に関する事前許諾」、保有個人データには「情報提供者による事業者に対する開示請求」が求められている。
さらに、2004年になって発表された「内閣総理大臣 基本方針」にも言及。「事業者はセキュリティポリシーや、事故が起きた場合の事実関係を公表しなければならいと、法律で明記していない部分にも触れている」と一定の評価を与えた。
● 完璧は難しい。問題発生時には説明責任の準備も必要
|
個人情報保護法の第20条に規定された「安全管理措置」については、経産省のガイドラインでも触れている
|
もちろん、「闇雲に対策しろというわけではない」。対策の指針になるのが、個人情報保護法の第20条に規定された「安全管理措置」。「安全管理措置が企業のセキュリティ対策となる」とし、現在パブリックコメントに付されている経済産業省のガイドラインなどを参考に、「情報提供者本人がこうむる権利利益への影響やリスクなどを考慮したうえで、対策すること」を推奨した。
ただし、「法令に基づく義務とはなったが、完璧は難しい」とも率直に述べた。「事故は確率的には絶対に起こる。セキュリティ対策だけではなく、企業としてどのように対策してきたかという説明責任を果たす準備をしておくことは、事故や訴訟が起きた時には重要になる」。
説明責任については、「万が一事故が発生してしまった時に、口頭で言っただけでは誰も信じてくれない。会社が倒産しない範囲で最善のことをしてきたという証拠を残す必要がある」と補足。また、「取引先から情報管理について聞かれた時に、きちんと答えられれば、むしろ付加価値になる。ビジネスチャンスにもつながるのではないか」と述べた。
● セキュリティポリシーの監査を
|
シマンテックの野々下幸治氏
|
続いて登壇したシマンテックエグゼクティブシステムエンジニアの野々下幸治氏は、システム的な側面から現状を語った。「現在、個人情報保護技術で脚光を浴びているのは、暗号化とか認証方法。いわばプロダクトに関するプロテクトで、技術でどう守るかというソリューションが注目を集めている」という。
しかし、「WindowsではなくLinuxを導入したら安全管理措置になるかというと、それは違うと思う」とも指摘。「例えば、Windowsにも侵入のログをとる機能が実装されている。大事なことは、それらのセキュリティ機能をしっかり機能させること。アクセス制限をポリシー上で決めていても、実際に運用しているのかどうかが問題だ」と策定したセキュリティポリシーの監査が大事だという認識を示した。
ポリシー監査のためにシマンテックでは、「Enterprise Security Management」(ESM)というソリューションを用意。こうしたソリューションを利用することで、システム内部を監査し、万が一のときでも「きちんと対策をとっていましたと担保できる」としている。
|
|
ESMを利用した場合のイメージ
|
操作画面
|
関連情報
■URL
シマンテック
http://www.symantec.com/region/jp/
三菱総合研究所
http://www.mri.co.jp/
■関連記事
・ 個人情報の保護対策が「特になし」と回答した企業が27%~gooリサーチ(2004/03/04)
( 鷹木 創 )
2004/08/25 19:16
- ページの先頭へ-
|