連載
» 2005年08月03日 00時00分 公開

やさしく読む「個人情報保護法」(5):「安全管理措置」とは何ですか? (1/3)

[直江とよみ,NECソフト株式会社]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 第4回個人情報を外部に業務委託するには?」では、業務委託をする際の注意点について解説いたしました。「個人情報の保護に関する法律」(個人情報保護法)では、個人情報取扱事業者に対し、保有する個人情報を安全に管理することを求めています(第20条)。今回は、「安全管理措置」としてどのようなことが求められるのかについて解説していきます。

 情報主体(個人情報を提供する本人)は、自身の個人情報を、安全管理対策がなされているであろう個人情報取扱事業者に対し提供するものです。委託業者に対しても個人情報取扱事業者と同様の安全管理対策が求められています。前回説明したように委託先の監督も安全管理対策の1つの義務です。自社内での取り扱いのみならず、収集した個人情報を廃棄または返却するまでの安全管理が個人情報取扱事業者の責任なのです。

 今回も個人情報保護法と経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照しながら解説していきます。

個人情報の保護に関する法律

http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf


安全管理措置

 個人情報保護法では、個人情報取扱事業者の義務として、以下のように安全管理措置についてうたっています。

第二十条(安全管理措置)

 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。


 この部分について、経済産業省のガイドラインでは以下のように解説しています。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的人的物理的及び技術的な安全管理措置を講じなければならない(電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。)。


 つまり、電話帳やカーナビゲーションといった「個人データ」に該当しないものは除き、安全管理措置を取ることが義務となっています。

不適切な事例

 ガイドラインでは「必要かつ適切な安全管理措置を講じているとはいえない場合」として以下のような例を挙げています。

事例1)公開されることを前提としていない個人データが事業者のウェブ画面上で不特定多数に公開されている状態を個人情報取扱事業者が放置している場合


 個人情報を提供した本人が、公開することを承諾していないにもかかわらず公開してしまった点で、個人データの取り扱いそのものが問題です。取り扱いルールがきちんと整備されていない、または運用がきちんとされていないという点で安全管理措置が十分でないといえます。さらに問題が生じているのに個人情報取扱事業者に対し報告連絡が行われていないという点も問題です。

事例2)組織変更が行われ、個人データにアクセスする必要がなくなった従事者が個人データにアクセスできる状態を個人情報取扱事業者が放置していた場合で、その従事者が個人データを漏えいした場合


 個人データへのアクセス制限の管理が不十分です。「漏えいした場合」とありますが、漏えいしていなくても安全管理という観点では問題です。

事例3)本人が継続的にサービスを受けるために登録していた個人データが、システム障害により破損したが、採取したつもりのバックアップも破損しており、個人データを復旧できずに滅失又はき損し、本人がサービスの提供を受けられなくなった場合


 バックアップ媒体の管理がずさんであるという事例です。預かっている個人データの正確性を確保しなくてはなりませんので、もしもの場合に備えてバックアップの定期的な読み込み確認を行い、いつでも復旧できるようにしておく必要があります。

事例4)個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏えいした場合


 個人データに対してアクセス制御は必須といえます。個人データにアクセスする必要がある限られた人のみアクセスできる環境と、誰がアクセスしたかを追跡できるような仕組みが必要です。

事例5)個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態になっており、その媒体が持ち出されてしまった場合


 バックアップ媒体も元データと同様に厳重な管理が必要です。簡単に持ち出し可能な状態は安全管理義務違反といえます。

 以上の例でお分かりいただけるように、個人データは正しく取り扱われ、また漏えいや滅失、き損のないように管理されなければなりません。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。