|
|
 |
| ・ |
第1回 |
|
個人情報保護体制の現状
日本の企業の約3割はインシデント時に適切な説明ができない? |
|
2004/12/15
プライバシー・コンサルタント
渡部 大也 |
 |
|
 |
|
「社長! 御社のセキュリティポリシーはどうなってるんですか。プライバシーポリシーはどうなってるんですか。」 |
|
|
|
|
ある日突然、記者が会社に押し寄せ、個人情報の流出事件について、会見をしなければならない。このようなことが、毎日のようにどこかで起きています。
このとき、社長を補佐するCPO(個人情報保護担当役員)やCISO(情報セキュリティ担当役員)は、どのように答えるでしょうか。
|
 |
|
| 40%近い企業は、このような受け答えが可能です。 |
|
「当社のプライバシーポリシーはこのプリントのとおりです。情報セキュリティに関してもISMS Level-2 の認証を取得しています。侵入、盗難にあったPCに格納されている個人情報ファイルは厳重な暗号化が施されており、解読することは理論上不可能です。経済産業分野のガイドラインに沿って、事件の公表と情報主体ご本人への通知とお詫びを申し上げましたが、この件で何らかの被害に遭われることは、可能性として極めて低いと考えております。」
|
|
 |
|
| 30%程度の企業は残念ですがこのような受け答えになってしまいそうです。 |
|
「当社の外注先における事故でして、まったく、管理体制が至らなかったようで、厳重注意をしたところです。普段から社員にはよく言っておるのですが・・・・ えっ、プライバシーポリシーですか?もちろん個人情報は大切に扱うように気をつけていますが、まだ未整備でして・・・・・とにかく申し訳ありません。」
|
|
| *1 |
外注先(委託先)の管理は発注元の責任、管理水準を決めて契約で担保することが必要です。 |
| *2 |
社員の教育・啓発も事業者の責務として実施しておかなければならいことです。 |
| *3 |
プライバシーポリシーを公表しておかなければなりません。もちろんポリシーに沿った個人情報保護体制を構築しておかなければなりません。 |
|
|
・この後、主務大臣から報告の徴収指示があるかもしれません。
・情報漏えいの被害があった場合は損害賠償の民事訴訟があるかも知れません。
|
|
現時点における国内事業者(企業)の個人情報保護体制の整備状況は、下のグラフのような状況です。約40%の事業者が体制整備済みといわれています。
また、他の40%程度の事業者は体制整備中ですが、この内に含まれる10%超の事業者は整備を始めたばかりです。そして、残りの20%の事業者は意識はあっても計画模索中で2005年4月1日に間に合いそうにありません。
体制整備済み事業者の比率は総務省の「情報セキュリティに関する実態調査( 2004年7月5日発表)」においても、セキュリティポリシー策定済み事業者が36%とほぼ同じ傾向を示しています。
|
|
平均的な体制整備期間は従業員1,000人規模の事業者で4ヶ月〜6ヶ月です。
《第三者認証取得は含まない》
急げば、まだ間に合います!
次回以降は個人情報保護緊急ミニマム対策を解説します。
|
|
|
|
