個人情報保護法

個人情報保護法の概要

2005 年 4 月より全面施行された新しい法律で、文字通り個人の権利利益を保護するための法律です。

高度情報化社会の進展に伴って、個人情報の利用頻度や範囲も大幅に拡大される傾向にあります。その中で、企業や組織が個人を識別できる情報を利用する事を認めつつも、個人の権利や利益といったものを確実に保護していくための仕組みが必要とされてきました。個人情報保護法は、個人のプライバシーを守るために、個人情報を取り扱う事業者に対して、その適正な管理を義務付けるものです。

個人情報取扱事業者の義務

個人情報保護法では、OECD 8 原則に従い個人情報の取扱事業者には以下の義務を課しています。

1. 目的明確化の原則

個人情報の利用目的を可能な限り特定し、他の目的のために利用してはならない

2. 利用制限の原則

本人の同意を得ずに、個人情報を第三者に提供してはならない

3. 収集制限の原則

個人情報の収集は、本人の同意を得た上で公正な手段により行わなければならない

4. データ内容の原則

収集した個人情報は、正確且かつ最新の内容に保つよう努めなければならない

5. 安全保護の原則

個人情報の漏洩、改ざん、滅失などの危険にさらされないよう保護しなければならない

6. 公開の原則

個人情報の取扱事業者は、利用目的や管理方法を本人に通知、または公開しなければならない

7. 個人参加の原則

取扱事業者は、本人の希望により情報の開示、情報の訂正、利用の停止に応じなければならない

8. 責任の原則

取扱事業者は、苦情があった場合の適切かつ迅速な処理に努めなければならない

取扱事業者は、これらの諸原則を実施する責任がある

具体的な対策

企業や組織が行う個人情報保護法への具体的対策としては、以下のものがあります。

個人情報の棚卸を実施する

法律施行後に新たに取得した個人情報だけでなく、過去に収集した顧客のアンケートや、取引先毎の担当者リスト、管理している名刺、印刷物など全ての個人情報が対象となります。社内で保有しているあらゆる個人情報に対して、棚卸しを実施する必要があります。特に、クライアント PC には大量の個人情報ファイルが蓄積されている可能性があり、これらを全て洗い出す必要があります。

個人情報管理表を作成する

棚卸し作業によって洗い出されたそれぞれの個人情報に対して、管理表を作成します。個人情報管理表には、収集目的、収集経路、保有部門、収集日、更新日、廃棄予定日、格納場所、媒体形式、管理責任者、利用者、廃棄手順、情報主体の同意有無、開示手順など、個人情報の管理を適切に行うために必要な情報が記載されている必要があります。

個人情報管理表に基づいた管理体制を構築する

継続的に保有する個人情報については、厳密な管理を徹底する必要があります。例えば、個人情報にアクセスできる従業員を限定し、それ以外の従業員からはアクセスできなくするような仕組み作りをする事が挙げられます。他にも、個人情報ファイルに対する操作ログを全て取得しておき、問題のある操作が行われた場合には、警告を上げるような仕組みも有効です。また、ノート PC のように社外に持ち出される可能性がある個人情報については、盗難や紛失といった不慮の事故や犯罪に対する備え (暗号化など) が必要となってきます。

商品紹介

P-Pointer

情報漏洩リスクを根本から低減するために個人情報の "現状把握" と "従業員のセキュリティ意識向上" を同時に実現します。また、新会社法、日本版SOX法による内部統制、及びISMSなどを意識し、個人情報だけでなく情報資産全般の検出機能も兼ね備えています。

VPNWarp

社内イントラネットに外部から接続するための設置したwebサーバに、外部から簡単に接続しwebページの閲覧やファイルのダウンロードをすることができるSSL-VPNソリューションです。 Web上で動作している業務用アプリケーションをモバイル環境から操作するなど、さまざまな用途に応用できます。