|
前回のコラムでは、リスクを適切なレベルまで下げる方策を考えることが、リスク対策つまり管理策・統制「C」「eC」であるとお話しました。
さて今回は、実際の管理策「C」「eC」を、実例である「経済産業分野のガイドライン」を参考にしながら、概要を見てみましょう。
■ 管理策の適用
管理策の適用はリスクを自社における受容可能なレベルまで低減し顕在化することを防止・予防するための手続きです。
JIS Q15001:2006はリスク分析について次のように要求しています。
3.3.1(個人情報の特定)により保護の対象としたものについて、想定される全てのリスクを管理することを求める。
リスクを漏れなく洗い出すためには、自社に入って来てから出て行くまで(いわゆる個人情報のライフサイクル)の全ての局面ごとに検討する必要がある。
大変な作業であるが、この作業により、自社内での個人情報の取扱い状況が明確になり、業務管理もやり易くなるはずである。
|
|
また、管理策の適用については、以下のような手続きを実施することを要求しています。
安全管理措置は、個人情報が漏えい等した場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人情報の取扱状況等に起因するリスクに応じた必要、かつ、適切な措置を講じることが求められているのであって、すべての個人情報について一律な措置を求めるものではない。
“必要かつ適切”という意味は、経済的に実行可能な最良の技術の適用に配慮することである。
“経済的に実行可能な最良の技術”は、事業者の事業内容や規模によって異なる。
|
|
このことは、「あらゆる手段(抑制、予防、防止、検知、復旧、人的、組織的対策)」を組み合わせることを要求しており、決して、「それぞれの事業者にとっての適切な措置」、「経済的に実行可能な最良の技術」を安易な方向に理解してはなりません。
では、この「あらゆる手段」を経済産業分野のガイドライン「安全管理措置」に照らして見てみましょう。
| 経済産業分野のガイドライン 安全管理措置 |
 |
|
経済産業分野のガイドライン「安全管理措置」は上図のように「仕組み作り」と「具体策」で構成されています。
■ 図の解説(1)組織的安全管理策と人的安全管理策について
左半分の「組織的安全管理策」と「人的安全管理策」は「仕組み作り」です。
この部分はすべての事業者に共通の内容であり、ベースラインとして実施すべき内容です。この土台の部分ができていないと、具体的な管理策の適用をしても砂上の楼閣になってしまいます。
■ 図の解説(2)物理的安全管理措置と技術的安全管理措置について
右半分の「物理的安全管理措置」、「技術的安全管理措置」の二つの分野は、一つのものとしてアプローチすることも可能です。
注意すべきポイントとしては、「技術的安全管理措置」の8項目の内の半分の4項目を割いて「アクセス制御」について述べてあることです。このことは、他の個人情報保護に関する法律に関する対応を要求しているのです。
即ち、「不正アクセス禁止法」や「不正競争防止法」による犯罪牽制力を有効ならしめるためには、「アクセス制御」がしていることが基本要件になっており、それに対応するために「アクセス制御」について詳細かつ具体的に記述しているのです。
これらの具体的な内容は、以下の経済産業省ホームページから平成19年3月発行の改訂版(最新版)がダウンロード可能ですから、入手してください。
>> 経済産業省ホームページ http://www.meti.go.jp/policy/it_policy/
(クリックすると新しい画面を表示します)
|
