コンサルタントコラム
こんにちは個人情報保護アドバイザーの目木知明です。
昨今、数社が連携したサービス、
新サービスの試みを行うプロジェクトが増えてきました。
弊社も厚生労働省の実証事業プロジェクトをはじめとして
プライバシーマーク取得までは行わないものの
個人情報保護法への対応、漏洩対策としての
個人情報保護アドバイザリーをお願いされるケースが増えております。
こういった数社連携によるプロジェクト事業は
たくさんの事業者が参加することにより
個人情報保護対策の難易度が高いと考えてます。
難易度が高い理由として
複数の事業者による個人情報の取得、
各事業者で取得後の処理(委託を含む)に伴なう、多大な複数データの発生、
取得した個人情報の共同利用(曖昧な記述の場合は、本人からの苦情へと繋がるケースが多い)
などが考えられます。
弊社のアドバイザリー業務は
プロジェクト全体の個人情報の流れをヒアリングしながら
できる限り個人情報を複製しない手順
必要最低限の管理策を行っているかのチェックから行います。
個人情報の漏洩事故は、特定漏れから発生することが多いことが現実です。
現在、数社連携によるプロジェクトの事務局を実施されている方は
個人情報の特定、特に個人情報の複製を減らす努力を心掛けてください。
ちなみにJISQ15001要求事項の解説には
このように明記されています。
「事業の用に供している個人情報がどのようなものがあるかを知らずして
個人情報保護のための対策を取ることはできない」
本日はこのあたりで。
2010年2月20日 目木知明
こんにちは個人情報保護アドバイザーの目木知明です。
この度、三菱UFJ証券の元システム部社員に実刑判決がくだりました。
この元社員は盗んだ理由は仕事ストレスのキャバクラ通いだったとコメントしていました。
まさかと思った方もいらっしゃるかもしれませんが。
仕事ストレスからのキャバクラ通いにより消費者金融からお金を借りたという話は、
皆さんも一度は身の周りで聞いたことのあるお話ではないでしょうか!
それが今回、目の前に換金できる個人情報があり
思わず窃盗をやってしまったという事件です。
今回の事件は、今後どの会社にも発生する可能性があると
再認識しなければならない事件です、
下記、事件の概要をまとめています。
社内で、個人情報保護事務局を中心に
事件の内容、盗もうと思った理由(人間の心理)について共有してください。
個人情報の事件事故から学ぶものは沢山あります。
(事件の概要)
日経コンピュータより [2009/11/12]
三菱UFJ証券の顧客情報約148万人分を不正に取得したなどとして
不正アクセス禁止法違反と窃盗の罪に問われた同社システム部の部長代理だった
元社員(4月8日付で懲戒解雇処分に対する判決公判が
2009年11月12日、東京地裁(江見健一裁判官)で開かれた。
同地裁は「会社や周囲の社員の信頼を裏切り、
内部からの犯行は悪質。刑事責任は重大」などとして
元社員に懲役2年の実刑判決を言い渡した。
判決によると、元社員は2009年1月26日、別の従業員のIDとパスワードを使用して
顧客情報を管理するサーバーに不正にアクセスして顧客情報を取得。
2月4日に顧客情報約148万人分を記録したCD-R1枚を持ち出して盗んだ。
また、3月22日には約4439万円相当の企業概要情報を記録したCD-R2枚を持ち出して盗んだ。
江見裁判官は、元社員の不正アクセス行為について「特定端末を長時間利用しないようにして
怪しまれないようにして発覚を防ごうとするなど、知識を悪用した」と指摘。
また、秘密保持しなければならない顧客情報や企業概要情報を売却目的で
盗んで流出させた点を「相応の考慮をすべき」と判断した。
流出した顧客情報については、
「勤務先や年収など高度のプライバシーが記載されており、金額に換算するのは困難」と言及し、
CD-R1枚分の価値(65円相当)として評価できないとした。
2009/06/30 時事ドットコムより
消費者金融から560万円=仕事ストレスでキャバクラ-三菱UFJ証券事件
三菱UFJ証券(東京都千代田区)の顧客情報約149万人分が持ち出された事件で
元システム部部長代理の久保英明容疑者(44)が警視庁ハイテク犯罪対策総合センターの調べに
「仕事のストレスでキャバクラに通い、消費者金融に約560万円の借金があった」と
供述していることが30日、分かった。
同センターによると、同容疑者は部下のいない職場環境で多くの仕事を抱え、
社内外の調整などのストレス発散のため、
3年前からキャバクラ通いを開始。「利害関係のない女性に愚痴を言うとスカッとし、
やめられなくなった」と話しているという。
1回約1万5000円で週1~2回通ったが、小遣いは月2万円で、
消費者金融から借り入れを繰り返した。
昨年末には毎月の返済が10万円を超え、顧客情報の転売を思いついたという。
2009.11.16 個人情報保護アドバイザー 目木知明
昨日、消費者庁となってからどのような動きがあるのかと確認したコラムを掲載しましたが
本日、YAHOOのトピックスでニュースとして取り上げられていました。
大きな社会問題となっているようです。
YAHOOニュース
「就活生狙う強引勧誘 就職相談...実は高額契約」
厳しい雇用情勢の中、就職相談を装って就職活動中の大学生を
高額な英会話教室などに勧誘するトラブルが相次いでいることが
4日、国民生活センターのまとめで分かった。
消費者庁は同日、文部科学省を通じて全国の大学などに注意喚起を要請した。
高額な英会話教室などに勧誘するトラブルが相次いでいることが
4日、国民生活センターのまとめで分かった。
消費者庁は同日、文部科学省を通じて全国の大学などに注意喚起を要請した。
センターによると、トラブルの多くは会社説明会の会場から出てきた学生を呼び止め
就活に関するアンケートを実施。
就活に関するアンケートを実施。
後日、「就活に役立つ話が聞ける」などと電話をかけ、
高額な英会話教室や自己啓発セミナーに勧誘する手口だ。
「このままでは就職はうまくいかない」などと学生の不安につけ込み、強引に契約させるケースも目立つ。
「このままでは就職はうまくいかない」などと学生の不安につけ込み、強引に契約させるケースも目立つ。
同様のトラブルは平成16年以降、1044件寄せられており、年々増加。
今年は9月末までに昨年同期を20件上回る96件の相談があった。
平均契約額は67万円と高額で、外国語教室やセミナーのほか、
資格講座やパソコン教室を契約させるケースもみられた。
今年は9月末までに昨年同期を20件上回る96件の相談があった。
平均契約額は67万円と高額で、外国語教室やセミナーのほか、
資格講座やパソコン教室を契約させるケースもみられた。
センターでは「しつこく勧誘されても、契約しないとはっきり告げること。
断り切れなかった場合でも契約を取り消せるケースがある。すぐに相談してほしい」としている。
断り切れなかった場合でも契約を取り消せるケースがある。すぐに相談してほしい」としている。
-----------------------------------
昨日、岸本もコラムの最後でまとめているが、
やはり自分の個人情報は自分で守ることが第一であり
安易な開示はトラブルに巻き込まれる可能性が高いことを再認識する必要があるだろう。
それにしても学生相手に悪質極まる犯行であり
就活に苦労している状況を思うと腹立たしい限りである。
2009.11.05 個人情報保護アドバイザー 目木知明
こんにちは、個人情報保護アドバイザーの目木知明です。
11月に入ったら急に寒くなり、いよいよ冬の到来って感じです。
本日は情報セキュリティコンサルタント岸本雅美のコラムとなります。
今年9月1日から公益通報者保護制度の窓口が内閣府国民生活局から
消費者庁に移管されて2ヶ月が過ぎた。
経済産業省の個人情報保護法ガイドラインにおいても管轄の変更について
改正が加えられたところである。
ところで消費者庁となってからどのような動きがあるのかと確認してみたら
「就職活動中の学生を対象とした強引な英会話等の勧誘を巡る消費者トラブルへの対応について」
という資料が公表されていた。
不安心理につけ込んだ悪徳商法として注意喚起されているが
不景気の影響が直撃する就職活動中の学生を狙った犯行で
被害もかなりの数に上っている。
手口は、就職説明会や就職セミナーの会場近辺で
「就職活動に英会話は必要ですか」などといった内容のアンケート調査を実施して
後日、大学生などを呼び出し、英会話教室やリクルート講座を
長時間にわたり強引に勧誘するものだ。
通常では引っかかりそうにない手口だが
就職説明会やセミナー会場でアンケートが実施されるため
学生たちの警戒心も薄らいでいたのが被害拡大の原因かも知れない。
当然、後日のコンタクトを可能にしたのは
無記名ではなく、本人が個人情報を記入したためと思われる。
おそらく本人が同意して書いたと考えられる状況もあり
後日のコンタクトは目的外利用には当たらないのでは推察する。
平均契約金額は約67万円にのぼる。
やはり自分の個人情報は自分で守ることが第一であり
安易な開示はトラブルに巻き込まれる可能性が高いことを再認識する必要があるだろう。
それにしても学生相手に悪質極まる犯行であり
就活に苦労している状況を思うと腹立たしい限りである。
2009.11.05 情報セキュリティコンサルタント 岸本雅美
「プライバシーマーク更新がスムーズにいかない場合は実態の見直しから」
こんにちは、個人情報アドバイザーの目木知明です。
わたしは休日などにメタボ対策も兼ねて
農業をしているのですが、、、
最近は17時を回るとビックリするようなスピードで
暗く涼しくなってきました。
まだ日中は暖かく10月の末という感じは全くしませんが、
くれぐれも風邪にはご用心にくださいませ。
さて、本日はプライバシーマーク更新が
スムーズにいかない会社様へご提案のコラムとなります。
最近、お客様のところへ訪問した際によく言われるのが
「他社はスムーズな運用ができていますか?」
この相談が多いです。
はじめて伺った会社の経営者様からも
同様のことを相談されます。
顔に「プライバシーマークはめんどくさい」といわんがばかりの
顔をしてお話されています。
みなさん、やはり周りが気になるようです。
実際、わたしがお手伝いしている
メインの組織規模は50名未満の会社が多く、
皆さん兼務兼務でなんとか個人情報保護組織を運営しています。
昨今の不景気な状況もあり、売り上げを上げるために営業活動を最優先し
個人情報保護委員会はちょっと後回しで・・・
とばかりに動いている会社が多い印象です。
JIS15001要求事項を完璧に行おうとすれば
大手がやっているようにリスクマネジメントチームや
セキュリティチームにような専任部署があることが望ましいのですが
小さな会社にはそうはいきません。
小さな会社の悩みごとは、
新規認証時は全員ピリッととして、なんとか早く確実に!の思いで
「会社全体でマークをとるぞ」という気持ちであふれていましが、、、
それが、更新・更新となっていくと
言うことが聞かない社員も増えてきたり、
マークを維持するためにイヤイヤ記録をとるような
なんのためのPマークなのか分からなくなってきている、、、
その上、営業上の数字もあり、
プラス事務局運営の仕事も重なり大変だ。
これからどうすれば・・ばという相談というより
最後はグチになってしまっている状況です。
みなさんの会社はどうでしょうか?
PMSが思うように運用できない状況を嘆いても解決にはなりません。
何が原因なのか? どうすればうまく運用できるのか?
永続的にマークを運用するための方法を
まずは自社の実態を正確に把握し考えていきましょう!
とわたしはお伝えしています。
身の丈にあった文書、組織、運用を改めて考え直す必要があります。
場当たり的り更新審査をうけて、マーク更新を重ねてもいつかは破綻します。
社内のPMS運用に問題があると少しでも思いの企業さまは
早期な根本的な原因の解決を行うべきということで
本日は終わりにします。
2009.10.25 個人情報保護アドバイザー 目木知明
個人情報保護アドバイザーの目木知明です。本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。
経産省ガイドラインの改正施行
2009年10月9日(金)付けで
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正施行された。
(本件の概要)
個人情報保護法が平成17年4月に全面施行されてから4年半が経過し、
我が国における個人情報を巡る国民の認識や社会情勢も変化しております。
このような法律施行後の状況等諸環境の変化を踏まえ、
当省では「個人情報の保護に関する法律についての
経済産業分野を対象とするガイドライン」(平成19年厚生労働省・経済産業省告示第1号)を改正し
本日付けで告示しました(同日付け施行)。
主な改正点は、ガイドラインの共通化、性質に応じた個人情報等の取扱い、
「事業承継」に係るルールの明確化、「共同利用」制度の利用普及に係る具体策
不正取得の事例の追加などです。
併せてパブリックコメントとして寄せられた数多くの意見について
「ご意見の概要と当省の考え方」も公表されており興味深い。
意見のいくつかは同ガイドラインに反映されているが、
「今後の社会情勢の変化等を踏まえ、検討する」ものや
同省のQ&Aページに追加するというものも多数ある。
個人情報保護法施行後の過剰反応(理解不足?)に対して
具体的な解釈事例等をQ&Aで詳しく紹介しているが、
どの程度浸透しているかは疑問が残る。
同ガイドラインの巻末にでも掲載してはどうかと思うのだが、
更新性の問題もあるので難しいのかもしれない。
主な改正内容は以下のとおり。
①個人情報保護法の管轄が内閣府から消費者庁へ移管されたことに伴う対応。
②法律施行令の改正により個人情報取扱事業者から除外される者の要件改正に伴う対応。
③ガイドラインの定義、位置づけ、名称、形式、使用用語等、各事業分野との共通化が図られた。
④ファクシミリやメールの誤送信は月1回にまとめて報告することができることとした。
⑤「事業承継」に係わる個人データの提供に関して、本人の同意がなくても可能なケースを明確化した。
⑥「共同利用」の事例として、ポイントによる企業間の連携サービスを追加した。
⑦不正手段により個人情報を取得している例を追加した。
同省に限らず、個人情報を巡る国民の認識や社会情勢の変化に対応し
各分野のガイドラインが定期的に見直されることは歓迎されるが
一方で、情報漏えい、目的外利用による権利利益の侵害も減る気配がない。
今後ますますパーソナル情報の有効活用が促進されることは間違いなく
情報主体である我々にとってはガイドラインの実効性を高めるための
いっそうの施策強化にも期待したいところである。
2009.10.13 岸本雅美
こんにちは、個人情報アドバイザーの目木知明です。
読書の秋ですね!
最近読んだ本で大変参考になりましたのが
「会社に潜むビジネスリスク100」です。
澤田 宏之 (著), 飯村 北 (著), 吉川 達夫 (著), 勝又 幹英 (著)
ケーススタディでリスクを取り上げているので
大変読み易く、理解し易いものでした。
ぜひ、今後のリスクマネジメントの参考にしてください。
さて、本日はプライバシーマーク教育についてコメントします。
最近、相談で多いのが、このような内容です、
「プライバシーマーク教育に行き詰っています、よいネタはありませんか?」
「毎年、教育計画を作成する際に何をしようか困っている。。。」
「昨今の不況で教育を専門家にお願いする予算が出ない。。。どうしよう」
読者の皆様は如何ですか?
うん、そうだ!そうだ!と思われた方も
いらっしゃるのではないでしょうか!
このような相談があった際に
「過去に起きた事故から学びましょう!」といつもコメントしています。
連日、個人情報の事件事故は起きていますが、
ただ単に「こんな事故がありました」と取り上げるのではなく、
なぜ事故が起きたのか、
本来とっておくべき対策は何がベストであったか
を考るのは如何でしょう!とお伝えしております。
事故が起こしてしまった会社が
原因の究明を行い再発防止について発表しますが
自らの会社が漏洩事故をしてしまったという想定で
この原因究明から再発防止の一連の流れを行います。
そして、過去に起きた事件事故の問題点を、
自社にあてはめて点検するだけでも、十分な体制確認が可能となり、
漏洩などの事故を未然に防ぐことが可能になると考えています。
格言で、「明日は我が身」とも言いますが
過去に起きた事件事故から、多くのことを学ぶことができます。
是非ともご参考にしてください。
本日はこのあたりで。
2009.10.08 目木知明
こんにちは。個人情報保護アドバイザーの目木知明です。
前回の内容でJIS合致監査についてお伝えしましたが
読者の方から異論がありました。
異論を唱えてくださった方は、なんと同業者の方で
オプティマ・ソリューションズ株式会社・代表取締役の中さんでした。
実は、私自身、同業者であるオプティマ・ソリューションズの中さんは
気になっている存在でした。
中さんの「個人情報保護」の世界は、わざと内容を「難しく」「分かりにくく」するという傾向があり
「分かりやすさ」を大切にしています。
というコンサルティングポリシーが私の考え方と共感できるものがあり、
ずっと気にはなっていた存在でした。
当然、同業ですので「こんにちは」と挨拶に伺うこともできず
WEBなどでご活躍を見せて頂いている程度でした。
今回、その中さんから直々に
JIS合致監査の考え方でコメント頂き
自分自身の解釈違いを知ることとなりました。
下記は、中さんからのメールです。
――――――――――――――――――――――
いつもBlogを拝見しております。
一問一答シリーズの監査のところを読みました。
http://pmark-anchor.com/04/post_111.html
どうしても、気になりましたので、
私の考えを述べさせていただきます。
「JIS要求事項との合致監査」ですが、これはあくまでも、「作成したPMS文書がJIS要求事項に適合しているか」
を監査するものであり、「PMS文書に記載したことについて個人情報保護組織の運用がしっかり励行できているか」
の監査は含まれないものと考えます。
イメージとしては、Pマークの文書審査と同じようなことを行うというイメージです。
規程を変更していなければ、毎年やる必要もないくらいのものですが、まあ、JISの要求上やらざるを得ないというものです。
「PMS文書に記載したことについて個人情報保護組織の運用がしっかり励行できているか」は、
「JISとの適合性監査」ではなく、「運用状況の監査」に含めるべきでしょう。
こういうときは、原文に戻ることがよいと思いますので、
原文を見てみましょう。
●JIS Q 15001本文(3.7.2 監査)
事業者は,個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメント
システムの運用状況を定期的に監査しなければならない。
●JIPDECガイドライン(3.7.2 監査)
個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシ
ステムの運用状況を定期的に監査するよう求めている。
個人情報保護マネジメントシステムのこの規格への適合状況を監査した上で、個人情報保護マ
ネジメントシステムの運用状況を監査する必要がある。適合していないものに基づいて運用して
も、何にもならないからである。
とあります。規格が要求しているのは
「PMSの規格への適合状況」
「PMSの運用状況」
の確認です。
そして、ガイドラインでは、
「PMSの規格への適合状況を監査した上で、PMSの運用状況を監査する必要がある。」
「適合していないものに基づいて運用しても、何にもならないからである。」
と書かれています。
この文章をよく理解すれば、
1)「PMSの規格への適合状況」というのは、
PMS(規程)がJISと適合しているのかを確認する行為であり、
2)記録の見直し、計画の作成、教育・見直しなどのPDCAサイクルが行われているのかの確認は、
「PMSの運用状況」に入る。
と読めるのではないかと思いますが、いかがでしょうか?
ここからは私見ですが、私は、運用状況の監査も二つに分けて、
監査全体を下記の3段階の監査と捉えるのがよいと考えています。
(1)JISとの適合性監査
対象:個人情報保護規程そのもの
(2)PDCAサイクルの実施状況の監査
対象:個人情報保護管理者、社長など
内容:年間を通して、記録の見直し、計画の作成、教育、定期的な運用の確認など、規程どおり運用されているかを確認する。
(3)リスク対策の実施状況の監査
対象:全部署
内容:その部署で使用している個人情報に必要なリスク対策が実施されているかを監査する。
弊社は、御社とは同業にあたります。ですから、そのまま見過ごすことも考えたのですが、
やはり、業界全体でレベルアップをはかるべきとの考えから、僭越ながら、ご連絡した次第です。
ご参考にしていただければと思います。
――――――――――――――――――――――
このようなメールを頂きました。
私は、JISに準拠していることを証明するには
内部文書と組織運用(PDCA)の両方が伴って
JISに適合している事を証明できると解釈しておりました。
その理由は、個人情報保護組織が運用できていない部分については
JISに準拠できていない(JISと合致していない)、JIS不適合と考えており
このJIS要求事項とのチェックは
JIS合致監査ともいえるのではないだろうか?
と考えていたからでした。
しかし今回の中さんからのメールで
解釈に誤りがあったことがわかりました。
中さんの考え方である3段階の監査の考え方は解りやすく、
Pマーク運用をされている企業様においても
スッと頭に中に溶け込んでいくのでは、と考えます。
プライバシーマーク運用は、難しい表現、分厚い文書が
形骸化を招く一つであると私は考えております。
私のブログやメルマガでは、どんどん私見をコメント致しますが
この解釈は間違えているのではないか?とか
こうすればもっと良くなるのでは?など
是非どしどしご意見を頂きたいと思います。
最後に、オプティマ・ソリューションズ株式会社 代表取締役 中様
この度は同業にも関わらず、ご指摘有難うございました。
中さんの懐の深さに感動いたしました。本当にありがとうございました。
この場をお借りしまして深くお礼申し上げます。
いつの日かお会いできる日を楽しみに
私自身も解りやすい個人情報保護、
形骸化しないPMSをポリシーに頑張りますので
今後共どうぞ宜しくお願い致します。
2009.09.27 目木知明
こんにちは、個人情報保護アドバイザーの目木知明です。
本日は気持ちいい秋晴れというか夏のような暑さですね・・・
9月も下旬なのにクールビズ姿のサラリーマンさんを多く見かけます。
さて先日のコラムで
プライバシーマーク運用における
よくある質問と回答を「一問一答シリーズ」としてお届けしました。
大変好評でしたのでシリーズ化してお伝えしていきたいと思っています。
是非、今後の取組みの参考にしてください。
◆本日の質問:JISQ15001要求事項:監査(JISQ15001.3.7.2)
監査の部分では、このような質問が多いです。
「監査はどういった監査を毎年行う必要があるのですか?」
「監査チェックシート作成のポイントは?」
では、要求事項にそって解説していきます。
監査は“2つの監査”が必要となります。
この「2つの監査」を毎年、年に1回以上行うことが
なかなか理解出来ていない会社様が多い現状です。
まず一つめの監査、「JIS要求事項との合致監査」について
この監査は、作成したPMS文書がJIS要求事項に適合しているか
また、PMS文書に記載したことについて個人情報保護組織の運用が
しっかり励行できているかチェックを行う監査になります。
監査対象は個人情報管理責任者、監査責任者、事務局。
このJIS合致監査は審査機関発行の監査ガイドラインを参考にすると良いでしょう。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
特に文書チェックについては、コンサル会社から審査に適合した文書を提供してもらったなど
自分たちで一から作成していない会社が多いので、
作成した文書をJIS要求事項に沿ってチェックするという認識に乏しいのでは・・・考えます。
また、このJIS適合監査は、毎年行う必要があるのですが、
毎年行うことについても認識が乏しい会社が多い現状です。
(毎年、JIS適合監査を行う理由!)
企業活動は生き残るために形を変えながらも継続しているものであるため
年に最低1回は、JIS適合監査を行いなさい!ということになっています。
つづいて2つ目の監査
これは、想定されるリスクに対し、定めた安全対策の
運用状況についてチェックする監査です。
監査対象は全部門。
この監査のチェックシートは
個人情報のライフサイクル上で、洗い出したリスクに対し定めたの安全対策について
全てチェックシートに反映される必要があります。
また、リスクの特定漏れが無いかや、
リスク対応できない安全対策を実施していないか
などのチェック項目も含まれることが良いかと思います。
今後も、一問一答をお届けしますので
PMSの運用の参考となればと考えます。
本日はこのあたりで。
2009.0925
個人情報保護アドバイザー 目木知明
何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化
個人情報保護アドバイザーの目木知明です。
本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。
JISQ15001要求事項では個人情報の取扱い局面に想定されるリスクを洗い出すことが求められる。
一般的にはライフサイクル毎に個々のリスクを特定する作業を進めることになるが
業務が多岐にわたる場合や委託が複数発生する場合は作業手間がかかることになる。
さらにリスクはゼロにならないという前提があるため、リスクに相応した安全管理措置を検討する場合、
当然ながら経済合理性も考慮する必要がある。
また何を残存(残留)リスク又は受容リスクとして管理するかの見極めも必要となる。
そのため“リスクアセスメント結果”に対する“管理策”の妥当性や合理性は判断が難しいところだろう。
「何を、どこまで対策すれば良いのか?」よく聞かれる質問でもある。
ひとくちにリスクといっても漏えい、滅失、毀損等だけでなく目的外利用やその結果の本人への影響。
インシデントが発生した場合は、当然ながら会社としての信用失墜による
営業機会の損失や再発防止に向けた投資や損害賠償等、経済的な損失もある。
さらに、過失であれ、確信犯であれ法令違反という事態も考えられるだろう。
つまり、すべてのリスクを捕捉しコントロールすることは容易なことではない。
では、こうしたリスクをいかに管理するのが合理的であろうか。
情報セキュリティマネジメントにおいてはCIAという考え方をベースにリスクを数値化するのが一般的であるが
対象が情報資産管理ではなく、個人情報保護の場合には不足が生じる。
これは個人情報となる当該本人の権利利益を保護するという考え方が基本となるからである。
そのため洗い出されたリスクをリスクマトリクスとしてマッピングすると全体像がつかみやすい。
仮に縦軸を影響度、横軸を発生確率とした場合
影響度合いは機密性×件数、発生確率は利用者数×利用頻度といった尺度を考慮すると
おおよそのリスクレベルは把握することができる。
この結果から対応すべきリスクの優先順位付けが可能となるだろう。
こうすることで何が見えてくるか。
それはリスクに対する管理策の妥当性、合理性である。
個人情報保護においてはIT対策だけではすべてをカバーできない。
インシデント発生による影響度でみれば情報セキュリティ対策が優先されるべきは周知の事実であるが
一方で、人的ミスや盗難・紛失、不正行為による事件も多発している。
選択された対策がリスクレベルに対して最適な管理策となっているか。
その管理策が実効性をもって機能しているか。
極論すれば、管理策の多重化、高機能化といった見直しも考えられる一方で
過剰対策による運用負担については負荷軽減という見直しもある。
まずはリスク管理状況が適切かどうかを5W2Hという視点で再評価してみることで
次のステップ(スパイアルアップ)へ進むきっかけになるのではと考える。
(補足)
「ISO/IEC 27005:2008 情報セキュリティリスクマネジメント」では
国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した
「ISO/IEC 27005:2008」はリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し
情報セキュリティリスク管理向けのガイドラインを提示するとともに
ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。
このISOの情報セキュリティリスク管理プロセスは、組織全体に適用できる。
組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム、
既存または計画中、特定の状況にある体制(例:事業継続計画)に当てはめられる。
とある。
2009.0911 情報セキュリティコンサルタント 岸本雅美
