CLUB GC
表紙へ グリーンレポートへ 技術情報へ Q&Aへ アンケートへ
個人情報流出対策<第2回>
 
感圧紙の業界の未来を考える グリーンレポート
個人情報流出対策 <第2回> 2006/7/10
1.必要最低限の対策は?
2.ISMS
3.プライバシーマーク
4.まとめ
1.必要最低限の対策は?
 もし企業が個人情報の漏洩事件を起こした場合、「6ヵ月以下の懲役または30万円以下の罰金」という行政処分に加え、民事の損害賠償請求を被るリスクがあります。またそれ以上に、企業としての信用を失う可能性もあります。ですから、個人情報保護への取り組みは、リスクマネジメントとコンプライアンスを確立することであると捉えるべきです。
それでは、一体何から始めればよいのでしょうか。基本的に個人情報流出を防ぐためには、「組織的対策」、「人的対策」、「物理的対策」、「技術的対策」の4つの対策が必要だと言われています。以下に簡単にまとめましたので、下の図と合わせて参考にしてみてください。
「組織的対策」では、個人情報保護法対策室などを設置し、会社として最重要課題であることを全社員に認識、実行させる必要があります。社長や取締役、役員などが先頭に立ち、推進していきましょう。
「人的対策」では、雇用契約や委託契約時に個人情報の非開示契約を締結することが求められています。また、教育・啓発の面では、個人情報保護に対する会社の取り組みや、情報セキュリティに関する規定などを周知させると同時に、新しい運用プロセスを教育・訓練し、個人情報保護のための手順を確実に従業員に身につけてもらうことが必要となります。
「物理的対策」では、個人データを取り扱うゾーンを切り離して区分管理したり、個人データを格納したサーバールームなどは、厳密な入退室管理を行いましょう。パソコンの盗難やリムーバブルメディアによる情報流出対策として、パソコンをワイヤーでロックしたり、監視カメラを設置することも有効です。
「技術的対策」ではまず、ファイヤーウォールやセキュリティパッチによって外部からの不正アクセスを防ぐことが大切です。その上で、内部からの情報流出を防ぎます。個人情報を取り扱う従業員一人ひとりにアクセス権限を設定し、業務上必要なデータのみアクセスできるようにします。いつ誰がアクセスし、どのような処理がなされたかなどを把握し、管理することが必要となります。
以上に述べた対策は、あくまでも参考例です。社内にしっかりとしたシステムを構築したい場合や社会的な信用を得たい場合は、ISMSの認証やプライバシーマークの取得をお勧めします。以降で、それぞれについて解説をします。
個人情報保護のための4つの対策
2.ISMS
 ISMSとは「Information Security Management System」の略称で、「情報セキュリティマネジメントシステム」とも呼ばれています。セキュリティに関わる国際規格を参考に、(財)日本情報処理開発協会(JIPDEC)が「ISMS評価基準」を制定し、平成14年度から、第三者によって適合性を評価する「ISMS適合性評価制度」の運用が本格的にスタート。日本の情報セキュリティレベル全体の向上と、諸外国からも信頼を得られるようなレベルを達成する目的で創設されました。企業内の情報や情報システムが漏洩や改ざん、盗難されたりするリスクから守るために、組織全体の情報セキュリティマネジメント体制を確立する仕組みで、事業者側が企業の経営方針に応じて、組織単位や部署単位など、認証取得の適用範囲を決めることができるのが特徴です。認証取得事業者数は徐々にその数を増やし、今では1,635社を数えます(平成18年6月9日現在)。
認証までの流れは、以下のようになります。まず、適用範囲と基本方針を定め、ISMSを構築し、ISMS制度推進室が認定した審査登録機関に申請。本審査を受け、ISMS認証審査に合格すると認証・登録され、ロゴマークの使用が許可されます(下図の「ISMS認証取得の6つのフェーズ」参照)。ISMS適合性評価制度には、対外的にも社内的にも多くのメリットがありますから、導入をご検討されてみてはいかがでしょうか。

ISMS適合性評価制度
http://www.isms.jipdec.jp/
ISMS認証取得のメリット
ISMSのプロセスアプローチ
ISMS認証取得の6つのフェーズ
申請費用
3.プライバシーマーク
 印刷業界において、プライバシーマークを取得する企業が増え続けています。総計3,974社(平成18年5月17日現在)ある認定事業者のうち、印刷業者は388社(同)が認定を受けています。これは、情報サービス・調査業に次いで2番目に多い数字です。
プライバシーマークは、(財)日本規格協会(JSA)が発行するJIS規格「JIS Q 15001:2006(個人情報保護に関するマネジメントシステム−要求事項)」に適合したシステムを確立し、個人情報の取り扱いを適切に行っている企業に、(財)日本情報処理開発協会(JIPDEC)またはその指定機関が評価・認定し、マークの使用を許諾する制度。プライバシーマークの有効期間は2年間で、取得後2年ごとに更新手続きが必要です。ISMSとは違い、個人情報の保護に焦点を絞ったマネジメントシステムの確立が要求され、原則として事業者単位で認証取得します。
今年、以前までマークの付与認定審査基準となっていた「JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)」が「JIS Q 15001:2006」に改正。これにより、個人情報保護マネジメントシステム(PMS)が新JISに対応し確立していることが申請の前提条件となりました。今後、申請予定の企業の方はご注意ください。

(財)日本規格協会(JSA) 
http://www.jsa.or.jp/
(財)日本情報処理開発協会(JIPDEC) 
http://privacymark.jp/
プライバシーマーク認定取得のメリット
プライバシーマーク取得までのフロー
申請費用
4.まとめ
 これまで2回にわたって、個人情報流出への対策方法をいくつか挙げてきました。しかし、個人情報保護システムを確立したり認証を取得したからといっても、それで終わりではありません。システムを運用・維持しながら、問題点をチェックし継続的に改善していくことが求められます。個人情報の漏洩は、企業の信用を失墜させるほか、業界全体への不信にもつながりかねませんので、それぞれの企業に合わせた対策を適切に行っていきましょう。
ISMSとプライバシーマーク制度比較
 
back
Copyright(c) 2006 FUJIFILM BUSINESS SUPPLY CO., LTD. All Rights Reserved.