インターネットプライバシー研究所　高木 寛 代表

個人情報保護法とプライバシーマークとの関係は？

個人情報保護法における安全管理措置は、プライバシーマークを取得する際に必ず通過する壁となるのですか？

個人情報保護法は、法律的には「個人データの安全管理のために必要かつ適切な措置を講じなければならない(第20条)｣と規定されています。これを具体化に記載されたものとして、経済産業省のガイドラインに順守しなければ違法となる場合を具体的に取り上げてあります。第20条に基づく広義でのセキュリティでは､組織的、人的、物理的、技術的の各安全管理措置の導入が必須であり､その措置がとられていない事業者は違法となります。しかし、ここからさらにブレークダウンするための詳細な法律の規定はなく、各社の自由な判断に任されています。でも「それでは何をすれば良いのだろうか？」と疑問が出ますが、答えはないのがこの個人情報保護法であり、プライバシーマーク取得のプロジェクト担当者が必ず通過しなければならない壁に突き当たることになります。

個人情報保護法の具体的な対策は各事業者の自主的な判断？

指標がないとこころでは自主的な判断は無理。先ずはトータルなセキュリティ診断をうけ指標を作成するのが効率的？

個人情報の取り扱いは各自業者の業務によって質・量・利用方法などはまちまちであります｡
この異なる個人情報の取り扱いを統一するような基準は存在しません。みんなで渡れば怖くないというように昔は護送船団方式が経済活動中心の業種もありましたが、今は否定されて久しく、こまごまと行政が指導してくれる時代は終わったと言えます。個人情報取り扱いに関し､自社では何が脅威であり､どのような対策を実施すればよいのかを自らが判断しなければなりません。この自ら判断するという視点を見落とすと､他人の意見に惑わされ､永遠の迷路に入り込んでしまう結果となります｡
しかし､そうは言っても何も指標や材料がないところで判断しろというのも無理があり､管理システム的に一定の対応が示される方が対策をとる際、効率的であります。例えば、ＩＳＭＳで一般的なリスクアセスメントの手法とされるベースラインアプローチは、社会に存在するさまざまなガイドライン・基準から自社が順守すべきベースラインというものを決定し、それと実際のギャップからリスクを分析する方法であります。一定の必要な対応を明らかにするために効率的なものとして、セコムトラストシステムズのトータルセキュリティ診断があると私は考えます。これは、セコムの考えるセキュリティをベースに、体制、ポリシー等の整備状況の分析、物理的脅威の分析、データアクセス制御の分析、およびインターネット側脅威の分析にわたるトータルなセキュリティについて診断し、あわせて、具体的に何から取り組むべきか、それはどれ程のコストが必要かについて、２週間で診断書を提示するものです。
これは、技術的な面では、ある程度のシステム化が可能であり､一般的なガイドラインが適切な対策を要求する脅威を試験的に作り出し､その脆弱性をシステム的に確認し、リスクを評価する、つまり自社がなすべ対策を能率よく判断決定できることになります。しかし、すべてをこのトータルセキュリティ診断が解決してくれるわけではありません。技術的に通常では見えにくい脆弱性を発見できるにとどまります。それは当然で､そもそもすべての脆弱性は発見しにくいものであり、技術的な脆弱性の発見をスタートに、PLAN、DO、CHECK、ACTIONの管理システムへと展開することが一番大切なことであることは間違いありません。（図3）

下記関連資料を郵送しております
セコムトータルセキュリティ診断、セコムセキュリティ診断サービス
インターネットプライバシー研究所会社案内