SECOMセコムトラストシステムズ株式会社 セコムトラストネットとセコム情報システムはセコムトラストシステムズとして生まれ変わりました。
HOMEサイトマップ

プライバシーマーク取得と個人情報保護法における安全管理措置について

HOMEコラム一覧>個人情報保護法対策コラム

インターネットプライバシー研究所 高木寛 氏


個人情報保護法とプライバシーマークとの関係は?

個人情報保護法における安全管理措置は、プライバシーマークを取得する際に必ず通過する壁となるのですか?

個人情報保護法は、法律的には「個人データの安全管理のために必要かつ適切な措置を講じなければならない(第20条)」と規定されています。これを具体化に記載されたものとして、経済産業省のガイドラインに順守しなければ違法となる場合を具体的に取り上げてあります。第20条に基づく広義でのセキュリティでは、組織的、人的、物理的、技術的の各安全管理措置の導入が必須であり、その措置がとられていない事業者は違法となります。しかし、ここからさらにブレークダウンするための詳細な法律の規定はなく、各社の自由な判断に任されています。でも「それでは何をすれば良いのだろうか?」と疑問が出ますが、答えはないのがこの個人情報保護法であり、プライバシーマーク取得のプロジェクト担当者が必ず通過しなければならない壁に突き当たることになります。


個人情報保護法の具体的な対策は各事業者の自主的な判断?

指標がないとこころでは自主的な判断は無理。先ずはトータルなセキュリティ診断をうけ指標を作成するのが効率的?

個人情報の取り扱いは各自業者の業務によって質・量・利用方法などはまちまちであります。
この異なる個人情報の取り扱いを統一するような基準は存在しません。みんなで渡れば怖くないというように昔は護送船団方式が経済活動中心の業種もありましたが、今は否定されて久しく、こまごまと行政が指導してくれる時代は終わったと言えます。個人情報取り扱いに関し、自社では何が脅威であり、どのような対策を実施すればよいのかを自らが判断しなければなりません。この自ら判断するという視点を見落とすと、他人の意見に惑わされ、永遠の迷路に入り込んでしまう結果となります。
しかし、そうは言っても何も指標や材料がないところで判断しろというのも無理があり、管理システム的に一定の対応が示される方が対策をとる際、効率的であります。例えば、ISMSで一般的なリスクアセスメントの手法とされるベースラインアプローチは、社会に存在するさまざまなガイドライン・基準から自社が順守すべきベースラインというものを決定し、それと実際のギャップからリスクを分析する方法であります。一定の必要な対応を明らかにするために効率的なものとして、セコムトラストシステムズのトータルセキュリティ診断があると私は考えます。これは、セコムの考えるセキュリティをベースに、体制、ポリシー等の整備状況の分析、物理的脅威の分析、データアクセス制御の分析、およびインターネット側脅威の分析にわたるトータルなセキュリティについて診断し、あわせて、具体的に何から取り組むべきか、それはどれ程のコストが必要かについて、2週間で診断書を提示するものです。
これは、技術的な面では、ある程度のシステム化が可能であり、一般的なガイドラインが適切な対策を要求する脅威を試験的に作り出し、その脆弱性をシステム的に確認し、リスクを評価する、つまり自社がなすべ対策を能率よく判断決定できることになります。しかし、すべてをこのトータルセキュリティ診断が解決してくれるわけではありません。技術的に通常では見えにくい脆弱性を発見できるにとどまります。それは当然で、そもそもすべての脆弱性は発見しにくいものであり、技術的な脆弱性の発見をスタートに、PLAN、DO、CHECK、ACTIONの管理システムへと展開することが一番大切なことであることは間違いありません。(図3)



下記関連資料を郵送しております
セコムトータルセキュリティ診断セコムセキュリティ診断サービス


著者:インターネットプライバシー研究所 高木 寛 氏
1986年 電子ネットワーク懇談会環境問題分科会、電子ネットワーク協議会に参加。
併せて、著作権問題分科会の委員として活躍。
当時、未開拓の領域であったネットワークと法秩序の問題を各誌に執筆。
1993年 電子ネットワーク協議会技術委員会事務局
1995年 財団法人ニューメディア開発協会主任研究員
1999年 インターネットプライバシー研究所設立、日経デジタルコア創立
財団法人インターネット協会会員
2001年 情報ネットワーク法学会会員
2002年 情報セキュリティマネジメント学会会員
2003年 トヨタ自動車(株)「トヨタ販売店情報セキュリティ構築プロジェクト」をプロデュース。
その他、各社のプライバシーマーク認定取得等を支援。

戻る


プライバシーマーク取得企業急増!
プライバシーマーク取得と個人情報保護法における安全管理措置について








関連用語集
プライバシーポリシHOMEサイトマップ