CLUB GC
表紙へ グリーンレポートへ 技術情報へ Q&Aへ アンケートへ
「個人情報の保護」を再考する
 
感圧紙の業界の未来を考える グリーンレポート
「個人情報の保護」を再考する 2011/4/8
1.個人情報保護法とプライバシーマーク
  ●個人情報保護法とは
  ●プライバシーマークとは

2.個人情報の取り扱いにおける事故の傾向
3.事故への対応策とは
  ●印刷業界における事故事例、ヒヤリ・ハット事例
  ●JIS規格(Pマーク)に準拠した個人情報の取り扱い方法 Q&A

1.個人情報保護法とプライバシーマーク
●個人情報保護法とは
 「個人の権利と利益の保護」を目的として、2003年5月に成立、2005年4月に全面施行した「個人情報の保護に関する法律(個人情報保護法)」。この法律には「本人の同意がない場合、第三者への情報提供の原則禁止」「従業員や委託先の監督義務」など、事業者への個人情報の取り扱いに対する基礎的な条項が定められています。企業が個人情報を入手する際には、利用目的を明示して同意を得る義務が生じ、個人情報の入手後、目的以外での利用が禁止されているほか、本人からの要求や苦情などへの対応が義務付けられています。
 同法の適用対象となるのは、5,000件を超える個人情報をデータベースとして所持・利用する事業者(個人情報取扱事業者)で、主務大臣への報告を怠るなど、適切な対処がなされない場合は、刑事罰が科されることになります。
 しかし、同法には「個人情報の保護」という観点においては、基本的な義務内容しか記されていません。そのため、本来の目的である「個人の権利と利益の保護」を十分に進めるものとはいえない部分がありますが、社会的な個人情報保護への関心を高めたことは大きな成果といえます。
 より保護基準の厳しい「プライバシーマーク」や「TRUSTe(※1)」「ISMS(※2)」など、個人情報の取り扱いに関した第三者による認証を取得する企業が増加したのも、同法が大きく影響を与えたといえるでしょう。
※1/TRUSTe…ウェブサイトにおける個人情報保護の推進、並びに、個人情報の適正利用の推進を主目的として、1997年に米国法人として発足。
※2/ISMS…ホームページの改ざん、ハードウエア/ソフトウエアのトラブルや関係者による情報の漏えいなどの情報セキュリティー対策や組織マネジメントを行うもの。
●プライバシーマークとは
 前述のように、個人情報保護法の成立後に注目され始めたのが、事業者によるプライバシーマーク(以下Pマーク)の認証取得です。
 Pマークとは、第三者機関の「JIPDEC(財団法人日本情報処理開発協会)」、および「Pマーク指定審査機関」が、事業者に対し、JIS規格に適合した「PMS(※3)」を整備し、個人情報を適切に取り扱っていると評価・認定した場合に付与される「信頼の証」です。
 個人情報保護法の施行前、Pマーク付与事業者は約1,200社程度(2004年度当時)でしたが、2008年には全国でのPマーク付与事業者が1万社を超えました(図表∋仮函法ちなみに、Pマーク付与事業者の約1割は印刷会社が占めています。印刷会社がクライアントからデータを預かる立場として、Pマーク取得を重要視していることがうかがえます。
 Pマークの認証取得は、「個人情報保護法」よりもさらに厳しい保護基準が課されているほか、2年間の有効期限が設けられています。有効期限が切れる都度、更新審査を受ける必要があるため、個人情報保護への取り組みを継続的に行っていることの証となるのです。
※3/PMS(Personal information protection management systems)…個人情報保護のための体制・実施・点検・見直しなどのマネジメントシステムで、事業者が自ら作成し審査を受けるもの。印刷業界においては、(社)日本印刷産業連合会より「印刷産業における個人情報保護ガイドライン(JIS Q 15001:2006準拠)」が設けられています。
プライバシーマーク
▲プライバシーマーク
※プライバシーマークは、(財)日本情報処理開発協会の登録商標です。
●図表 峺朕余霾麒欷酲 廚函JIS規格(Pマーク)」要求事項の主な違い
図表年度別Pマーク付与事業者数の推移
2.個人情報の取り扱いにおける事故の傾向
 年々、Pマークの付与事業者が増加していますが、Pマーク付与事業者が個人情報の取り扱いにおいて事故を起こした場合、認定を受けた指定機関への報告が義務付けられています。
 2009年度中にJIPDECおよび指定機関に報告があった事故は、624社・1,269件で、前年度の565社・1,062件より微増となっています(付与事業者数の比率で見ると、5.5%で同率)。報告された事故の原因は、「書簡の宛名間違い」「紛失」「メール誤送信」の比率が高く、「紛失」の媒体としては「携帯電話」「ノートPC」「USBメモリーなどの可搬記録媒体」の比率が高く、全体の45%に上っています。
 これらの事故は、ちょっとした確認漏れや不注意などにより、思いもよらない事故に発展するケースが大半です(図表参照)。原因自体は「うっかり」という些細なことが大半ですが、そのために、かえって具体的かつ効果的な改善策の立案が難しいという側面があるようです。
図表Pマーク付与事業者から報告のあった原因別事故報告件数(2009年度)
3.事故への対応策とは

 前述のように、個人情報保護において大切なのは「いかにヒューマンエラーを減らしていくか」ということです。そのためには、「いつでも、どこでも、誰もが起こす可能性がある」という認識の徹底、個人情報を管理する責任者の意識の向上はもちろん、個人情報を取り扱う人のモラルの向上、仕事や役割に対する責任感の醸成といった教育面の充実が大切です。
 具体的な事故防止策としては、紛失事故の多い携帯電話については、紛失防止装置(コードなど)の装備や、セキュリティーロックの利用、Eメール使用時には、添付ファイルのパスワード管理や暗号化などのシステム的安全管理措置の実行、PCの使用においては、ファイル交換ソフトの禁止、個人PCの持ち込み禁止など、ごく基本的な対策を徹底して行うことが大切です。
 また、個人情報流出の原因となるのは、「うっかりミス」だけではありません。例えば、悪意ある従業員による「内部不正行為」や、業務で取り扱う個人情報を従業員が私的利用しているケースなどが考えられます。そのため、ゞ般各睛討篝嫻と楼呂紡┐靴織▲セス権の見直しや、アクセス範囲および権限者を最小限にする取り組み、権限を持つ人物の不正行為の抑制のために、入退室記録、システムへのアクセスログなどの取得と定期的な記録の確認や、内部での報告体制の明確化などの取り組みも重要です。
 下に、印刷業界における事故事例および事故には至らなかったヒヤリ・ハット事例と、JIS規格(Pマーク)に準拠した個人情報の取り扱いについて、印刷業界から関連機関に問い合わせの多い事柄を挙げました。ぜひ参考にしてください。
 さらに、事故の発生を想定したリスク管理やクライシス管理も不可欠です。これらには、個人情報の流出といった一次被害、事後の二次被害のほか、再発防止のための取り組み強化の策定など、さまざまな要素があることをよく認識しておくことが大切ではないでしょうか。日ごろから、事故が発生した際に予想される結果などについて意見交換を行うなど、継続的な意識改革のための施策も不可欠だといえるでしょう。

●印刷業界における事故事例、ヒヤリ・ハット事例
【事例1】 宛名ラベルの不適切な修正
ダイレクトメールに印刷・貼り付けを行った宛名ラベルが間違っていることを発見。その上から正しい宛名ラベルを重ね貼りして配送した。結果、配送先とは異なる別の顧客の氏名、住所、加入者番号がラベルからうっすら透けて見える状態となってしまった。

【事例2】 発送リストのズレによる誤配送
印刷物の発送先リストに重複や住所記載の不備があり、修正を行った。その際、宛名に対し、配送先住所が1行ずつズレてしまったリストを使用。そのまま気付かず印字、発送。ほとんどが宛先不明で戻ったものの、一部が誤配達されてしまった。

【事例3】 封筒成型不良による封入物の脱落
ダイレクトメールの封筒が成型段階で糊付け不良であり、配送ルートのどこかで封入物が脱落。追跡不能のため、個人情報流出に至ったかどうかさえ不明。

●JIS規格(Pマーク)に準拠した個人情報の取り扱い方法 Q&A
Q.1
広報誌に不特定多数の個人が写った写真を掲載する場合、写っている人全員に掲載の了解を得なければならない?
A.1
個人を識別できる写真であれば「個人情報」に該当するため、掲載写真が適正に取得されたもの(利用目的を本人に通知または公表したもの)かどうかを確認することが必要です。また、個人情報保護以外にも、写真の場合は肖像権にも配慮する必要があります。

Q.2
個人情報が記載される印刷物の製造工程で発生する版下、校正紙、刷版、ヤレ紙、刷見本などの取り扱いや保管・処分方法は?
A.2
上記の中間生成物に記載された個人情報は、顧客企業から委託された情報のため、十分な安全管理が必要です。不要な刷版は、薬剤処理やカッターでの傷付けなど、適切な処理を行うほか、それらの処理作業を台帳へ記録する必要があります。校正紙などについては、持ち出し厳禁の周知徹底や注意書きの張り出し、職場の整理整頓、職場への関係者以外の入場禁止といった措置が有効です。

Q.3
得意先から、メールもしくはFAXで個人情報が入稿されてくる場合、受け取り側はどのように対処するのが望ましい?
A.3
入稿データなどの受け渡し方法について合意をしておくべきでしょう。メール入稿の場合には、暗号化やパスワード保護された添付ファイル形式での受け渡し、通信経路の暗号化やセキュリティーのかかったファイル転送システムの利用などの措置が考えられます。FAX入稿の場合も、FAX発信の連絡を受けたら待機するなど、手順を明確化し、発信途上の事故には、受け手側に責任が及ばないことを顧客企業との契約書などの文書に明記しておくことが望まれます。

 
back
Copyright(c) FUJIFILM BUSINESS SUPPLY CO., LTD. All Rights Reserved.