個人情報保護法がもたらすビジネスへの影響：情報セキュリティアドミニストレータ試験対策

TOP ＞午後対策＞個人情報保護法がもたらすビジネスへの影響

個人情報保護法がもたらすビジネスへの影響

問　題《情報セキュリティアドミニストレータ午後対策》

＠IT
個人情報保護法がもたらすビジネスへの影響は
http://www.atmarkit.co.jp/fbiz/cbuild/serial/doukou/03/doukou03.html
を読んで下記問いに答えよ。

　(1) 企業が個人情報を取り扱うために気を付けなければいけないこ
　　とは何か。

　(2) 個人情報の取り扱いフローのプロセスの一部を外部委託しなけ
　　ればならない時に注意しなければならないことは何か。

　(3)感想・調べたこと>

スポンサードリンク

解　説《情報セキュリティアドミニストレータ午後対策》

(1)企業が個人情報を取り扱うために気を付けなければいけないこ
　　とは何か。

>個人情報の取り扱いの流れをきちんと把握できるようにすること

　個人情報の保護に関して、個人情報のライフサイクルを把握すると
　いうことは非常に重要です。

　個人情報のライフサイクルを見てみましょう。

　（１）収集
　　　個人（情報主体）から直接収集
　　　第三者から間接収集
　（２）利用
　（３）処理
　（４）保管
　（５）預託
　（６）提供
　（７）廃棄

>企業は個人情報の取り扱いの流れをきちんと把握しなければならない。
>そのためにはセキュリティポリシーの策定はもちろん、どのチャンネルから個人情報を取得して、
>どのように処理し、どこに保存するのか企業内でルール化する必要がある。

　個人情報のライフサイクルが把握できたら、それに応じた組織とし
　てのルールを定義しておくとよいでしょう。

>○個人情報の取り扱いの流れをきちんと把握できるようにすること。
>　<技術面>
>　　・認証技術や暗号化技術を用い、情報へのアクセス制限をかける。
>　<管理面>
>　　・組織として個人情報の取り扱いルールやフロー、役割による権
>　　　限をきちんと定める。

　技術面と管理面の２つの側面について記述されていましたが、
　私は情報資産に対するセキュリティ対策を考えるとき、
　人的（管理的）対策、物理的及び環境的対策、技術的（論理的）対策の３つの観点
　から考えています。

　簡単に特徴をいくつかあげておきます。

　（１）人的（管理的）対策
　　　・組織として個人情報の取り扱いルール
　　　・組織としての役割分担の明確化
　　　・個人情報の利用状況の監視
　　　・個人情報の取扱いに対する教育
　　　・罰則規定

　（２）物理環境的対策
　　　・コンピュータ機器、ネットワーク設備に対する保護
　　　・記憶媒体の管理
　　　・災害対策

　（３）技術的（論理的）対策
　　　・情報処理システムの機能の利用
　　　　（認証技術、暗号化、アクセスコントロール機能など）

　【一言コメント】

　　　いろいろなサイトをご紹介していくなかで、著者により切り口が異なることが
　　　ありますが、特に気にする必要はありません。

　　　肝心なことは、あなたがしっかりとした切り口をもっているかどうかです。

　　　そして、いろいろな方の視点や考え方を学び、自分の切り口に
　　　肉付けをしていけばいいのです。

(2)個人情報の取り扱いフローのプロセスの一部を外部委託しなけ
　　ればならない時に注意しなければならないことは何か。

>企業は外部との情報の流れを明らかにし、機密保持契約を厳密に結ぶ

　外部へ預託しなければならない場合、組織とセキュリティレベルが異なる可能性が
　高いので、外部委託先と機密保持契約を結ぶことが必要となってきます。

>外部委託の場合は、アウトソース先企業をしっかり管理し、機密保持
>契約をしっかり結ぶということに注意する。

>発注元の企業は発注先と契約の際に、外部との情報の流れを明確にし、
>機密保持契約を厳密に結ぶ必要がある。

　外部委託先の選定も注意して行わなければなりません。
　プライバシーマーク制度というものもありますので、Ｐマーク取得業者という
　ことを選定の基準としてあげてもいいかもしれません。

　◇プライバシーマーク制度　とは。。。

　　日本工業規格
　　「個人情報保護に関するコンプライアンス・プログラムの要求事項
　　 JIS Q 15001」に適合して電子計算機処理に係る個人情報
　　（電子計算機処理の前後におけるマニュアル処理に係る個人情報を含む。）
　　の適切な保護のための体制を整備している事業者に対し、その申請に基づき、
　　その旨の認定（「プライバシーマーク付与認定」）及びその旨を示す特別の表示
　　であるプライバシーマークの付与（「プライバシーマーク付与」）を行う制度である。

【参考資料】
　プライバシーマーク制度設置及び運営要領(PDF)
　http://privacymark.jp/ref/selfreg031001.pdf

(3)感想・調べたこと

>首相官邸のHPに経緯とかがありました。
>http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

　ＨＰのご紹介ありがとうございます。

　個人情報保護法の解説をみてみると
　OECD 個人情報保護８原則と個人情報保護法との対応が分かりますね。

>日々学んでると、情報化社会って恐ろしい時代なのかなって感じてま
>す。欲しい情報がすばやく得られる便利性はあっても、その欲しい情
>報が人によって様々なために個人の情報の取り扱いがおかしくなってきたんでしょうね。
>企業としては信用問題にもなるので顧客の情報の取り扱いを明確にして運用を進めるべきだと思う。
>そして顧客である消費者は慎重に自分の情報を取り扱わなければならないのでしょうか。
>「自分の身は自分で守る」ですかね？？？

　個人情報は、我々個人（情報主体）の情報ですから、非常に身近に
　感じられると思います。

　組織（企業）として、個人情報をどのように扱わなければいけないのか、
　また個人としてどのように自分の個人情報を保護しなければならないのか
　考えてみるといいと思います。

　個人情報に関するセキュリティ事件は過去たくさんの事例がありますので、

　なぜそのような事件が起きてしまったのか？
　どのように対策しておくべきだったのか？
　その事件が発生した時どのように対応すべきだったのか？

　など考えてみましょう。

個人情報保護法がもたらすビジネスへの影響：情報セキュリティアドミニストレータ試験対策