個人情報取扱事業者とは何か?個人情報をシステム面で保護するために必要なこと

INDEX
    個人情報保護法において「個人情報取扱事業者」とは個人情報を取り扱う企業や組織を指します。 顧客の個人情報だけでなく、従業員の個人情報も該当するため、ほぼすべての企業・組織が対象であることから、個人情報取扱事業者としての責務を理解しておかなくてはなりません。 今回は個人情報取扱事業者に関する基礎知識、そして個人情報取扱事業者としてシステム面で何を行うべきかについてお話します。

    個人情報取扱事業者に関する基礎知識

    はじめに個人情報取扱事業者に関する基礎知識について簡単に解説します。

    個人情報取扱事業者の定義

    総務省では個人情報取扱事業者を「個人情報データベースなどを事業の用に供している者」と定義しています。個人情報を簡単に説明すると個人を特定できる単一の情報、もしくは組み合わせることで個人を特定できる情報です。 個人情報取扱事業者は個人情報保護法に基づく義務があります。義務を守らない場合には罰金、もしくは懲役などの罰則があるため無視することはできません。 冒頭でお話した通りに従業員の個人情報も該当することから、ほとんどの企業や組織、団体など、何らかの事業活動を営んでいる場合は個人情報保護法を守る必要があります。 参考元:総務省 - 個人情報取扱事業者の責務 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/05.html

    個人情報を取り扱う際のリスク

    個人情報を取り扱う際のリスクとして、情報漏えいや情報の悪用、データ改ざんなどが挙げられます。また、個人情報が含まれるファイルを保存したUSBメモリ、外付けのHDD/SSDの盗難など物理的なリスクも考えられます。昨今、定着しつつあるテレワークにおいても、社外や組織外で作業することで、個人情報を盗み見される可能性もゼロではありません。 その他、住所や氏名など直接的に個人を特定できる情報だけでなく、社内や組織内における社員番号のような文字数列であったとしても結果的に個人を特定できるため、個人情報に該当します。そのため、個人情報と紐付いた情報であれば、細心の注意を払う必要があり、「何が個人情報保護法に該当するのか」をしっかりと理解し、確実に保護できるような管理体制の構築が必要不可欠です。

    匿名加工情報及び匿名加工情報取扱事業者について

    匿名加工情報とは個人情報を加工して、個人を特定できないようにした情報を指します。匿名加工情報を取り扱う事業者は匿名加工情報取扱事業者と定義されており、個人情報とは異なるルール・規則があり、個人情報と同じように適切に守らなければ罰金や懲役などの罰則があるので注意が必要です。 例えば、個人情報を加工して匿名加工情報を作成したとします。そのままでは個人を特定できませんが、どのように加工したかが知られてしまうと、個人を特定できる個人情報に戻ってしまいます。そのため、社内や組織内、もしくは社外に渡すデータに匿名加工情報が含まれるのであれば、個人情報と同等に細心の注意を払う必要があるのです。 job-gb9c7a003e_1920.jpg

    個人情報取扱事業者としてシステム面で何を行うべきか

    次に個人情報取扱事業者としてシステム面で何を行うべきか説明します。

    個人情報を含むファイルを把握できるようにする

    個人情報を安心・安全に取り扱うためには、まず「個人情報が何か」を理解した上で、個人情報を含むファイルを把握することから始めましょう。同時に、業務や作業において、どのような形で個人情報を受け取り、どのように利用しているのかを明確することが大切です。 また、個人情報を取得する段階においても、必要としない情報は取得すべきではないという考え方も持っておきましょう。情報量が増えれば増えるほど、個人情報の管理が煩雑になってしまうということを忘れてはいけません。その他、社内や組織内において作成した文字数列であったとしても、個人情報と紐付いていれば結果的に個人情報に該当しますので「見ただけではわからない」ような情報においても、しっかり精査・把握することをおすすめします。

    ファイルへのアクセス・閲覧・編集など権限を割り当てる

    個人情報を含むファイルと業務を把握した後、次はファイルへのアクセス・閲覧・編集などの権限を割り当てましょう。間違っても誰でもアクセスできるような環境にしてはいけません。必ず、自分自身のIDやパスワードでログインやアクセスすること、不要な人にはアクセスどころかファイルの存在もわからないようにしておくことが大切です。 同時に、IDやパスワードの共有なども禁止することをおすすめします。IDやパスワードを共有してしまうと、誰がファイルを操作したのか曖昧になり、原因究明が困難になる可能性があるためです。後述する監視や検知を正確に行うようにするためにも、担当ごと、従業員ごとに権限やIDの割り当てを行うことを重視してください。

    個人情報を含むファイルの操作を監視できる仕組みを導入する

    個人情報を含むファイルおよび業務を把握し、適切に権限を割り当てた後、ファイルの操作を監視できる仕組みの導入を検討すべきです。いつ・だれが・どこで・どのように・何をした、という形で操作のログを取得し、監視する体制があれば、セキュリティインシデントが発生した際に原因究明できる可能性が高まります。 同時に、何らかの操作を行った時点でアラート・検知できる仕組みがあれば、セキュリティインシデントが発生する前に対処できる可能性が高くなります。逆に言えば、管理や監視ができない状況であれば、個人情報を含むファイルを取り扱うべきではないと言えます。必ず、管理する側が監視できるようにすること、PC操作ログの取得やWeb閲覧履歴、メールの送受信履歴など幅広く監視できる仕組みと体制を整えるようにしましょう。

    外部記憶領域に保存しない、させない

    個人情報の漏えい、盗難、置き忘れなどの原因のひとつに「USBメモリで持ち歩いていた」ことが挙げられます。USBメモリはとても利便性が高く、業務の流れの中、もしくはテレワークのためにデータを移動する手段のひとつとして優秀なのも確かです。 しかし、情報漏えいや盗難、置き忘れのようなリスクがあることを考えると、基本的には外部記憶領域に保存しない、させない方が安全です。また、シャドーITという考え方があり、従業員が勝手にUSBメモリや私物のデバイスを利用してしまうことでリスクが増大する可能性もあります。システム的かつ物理的にも外部記憶装置に保存できないようにすること、同時に管理者が把握・管理・監視できない場所にファイルを保存や編集させないようにすることを徹底しましょう。

    クラウドサービスの利用制限や監視することも視野に

    GoogleワークスペースやMicrosoft364など、オンライン上で業務ができるようなクラウドサービスがあります。企業活動においてごくごく当たり前に利用しているケースもありますが、IDとパスワードのみでログインできてしまうような場所に個人情報を含むファイルを保存するのは危険です。 可能であればクラウドサービスの利用制限を行うこと、もしくはWeb閲覧履歴はメール送受信履歴を監視・把握できるようにして、透明性を高めつつ、内部不正やヒューマンエラーが起きにくい環境を整えましょう。これらは外部からの悪意のある第三者によるサイバー攻撃だけでなく、従業員や退職者による内部不正が起きないようにするためにも必須です。

    まとめ:個人情報保護法を守るためにもシステム面の強化をしておこう!

    今回は個人情報取扱事業者に関する基礎知識、そして個人情報取扱事業者としてシステム面で何を行うべきかについてお話しました。 個人情報取扱事業者としての自覚を持つこと、個人情報保護法とは無関係・無縁だとは思わないことを意識してください。その上で個人情報保護法を守り、適切な個人情報取扱事業者として信頼や安心を維持し続けることをおすすめします。 当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、個人情報を把握する機能、暗号化やPC操作ログの取得・監視など、情報漏えい及び内部不正の対策が強化できます。個人情報を安全に取り扱えるようにしたいとお悩みであれば、ぜひともこの機会にご相談、お問い合わせください。
  • ワンストップで実現する「ヒト」を軸とした情報セキュリティ対策とは?

    2024/12/19(木)10:00~10:30

    ワンストップで実現する「ヒト」を軸とした情報セキュリティ対策とは?

  • 生成AIが狙う人の脆弱性 さらに巧妙になったサイバー攻撃の事例と対策

    12/10(火)13:30~15:20

    生成AIが狙う人の脆弱性
    さらに巧妙になった
    サイバー攻撃の事例と対策

  • WSUS終了!これからのパッチ管理・ネットワーク帯域対策をご紹介

    12/18(水)10:30~11:00

    WSUS終了!これからのパッチ管理・ネットワーク帯域対策をご紹介

  • 【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

    アーカイブ配信

    常時開催

    【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

  • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

    アーカイブ配信

    常時開催

    【改訂】ISMS(ISO27001:2022)
    対策のポイント5選

  • IT導入補助金2024の攻略法

    アーカイブ配信

    常時開催

    IT導入補助金2024の攻略法

  • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    アーカイブ配信

    常時開催

    情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

  • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    アーカイブ配信

    常時開催

    社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

  • 情シス担当に調査!SaaS管理をとりまく実態とは?

    アーカイブ配信

    常時開催

    情シス担当に調査!SaaS管理をとりまく実態とは?

  • 金融分野における個人情報保護に関するガイドライン解説セミナー

    アーカイブ配信

    常時開催

    金融分野における個人情報保護に関するガイドライン解説セミナー

  • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    アーカイブ配信

    常時開催

    「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

  • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    アーカイブ配信

    常時開催

    PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

  • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    アーカイブ配信

    常時開催

    30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

  • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    アーカイブ配信

    常時開催

    最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

  • 『内部不正』が起きる要因と対策が分かるセミナー

    アーカイブ配信

    常時開催

    『内部不正』が起きる要因と対策が分かるセミナー

  • カテゴリ

    おすすめ記事

  • ワンストップで実現する「ヒト」を軸とした情報セキュリティ対策とは?

    2024/12/19(木)10:00~10:30

    ワンストップで実現する「ヒト」を軸とした情報セキュリティ対策とは?

  • 生成AIが狙う人の脆弱性 さらに巧妙になったサイバー攻撃の事例と対策

    12/10(火)13:30~15:20

    生成AIが狙う人の脆弱性
    さらに巧妙になった
    サイバー攻撃の事例と対策

  • WSUS終了!これからのパッチ管理・ネットワーク帯域対策をご紹介

    12/18(水)10:30~11:00

    WSUS終了!これからのパッチ管理・ネットワーク帯域対策をご紹介

  • 【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

    アーカイブ配信

    常時開催

    【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

  • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

    アーカイブ配信

    常時開催

    【改訂】ISMS(ISO27001:2022)
    対策のポイント5選

  • IT導入補助金2024の攻略法

    アーカイブ配信

    常時開催

    IT導入補助金2024の攻略法

  • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    アーカイブ配信

    常時開催

    情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

  • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    アーカイブ配信

    常時開催

    社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

  • 情シス担当に調査!SaaS管理をとりまく実態とは?

    アーカイブ配信

    常時開催

    情シス担当に調査!SaaS管理をとりまく実態とは?

  • 金融分野における個人情報保護に関するガイドライン解説セミナー

    アーカイブ配信

    常時開催

    金融分野における個人情報保護に関するガイドライン解説セミナー

  • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    アーカイブ配信

    常時開催

    「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

  • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    アーカイブ配信

    常時開催

    PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

  • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    アーカイブ配信

    常時開催

    30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

  • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    アーカイブ配信

    常時開催

    最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

  • 『内部不正』が起きる要因と対策が分かるセミナー

    アーカイブ配信

    常時開催

    『内部不正』が起きる要因と対策が分かるセミナー

  • お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • ワンストップで実現する「ヒト」を軸とした情報セキュリティ対策とは?

      2024/12/19(木)10:00~10:30

      ワンストップで実現する「ヒト」を軸とした情報セキュリティ対策とは?

    • 生成AIが狙う人の脆弱性 さらに巧妙になったサイバー攻撃の事例と対策

      12/10(火)13:30~15:20

      生成AIが狙う人の脆弱性
      さらに巧妙になった
      サイバー攻撃の事例と対策

    • WSUS終了!これからのパッチ管理・ネットワーク帯域対策をご紹介

      12/18(水)10:30~11:00

      WSUS終了!これからのパッチ管理・ネットワーク帯域対策をご紹介

    • 【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

      アーカイブ配信

      常時開催

      【自工会/部工会】サイバーセキュリティガイドライン対策セミナー

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      アーカイブ配信

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      アーカイブ配信

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら