TOP
コラム
個人情報保護法とは？セキュリティ担当として覚えておきたいポイント

個人情報保護法とは？セキュリティ担当として覚えておきたいポイント

2020.03.10

INDEX

企業や組織として個人情報を取り扱う場合、個人情報保護法を理解し、守る必要があります。

なぜなら、情報漏洩や内部不正など、個人情報を狙ったサイバー攻撃や被害が増え続けているからです。

今回はセキュリティ担当や情報システム部として、個人情報保護法について覚えておきたいポイントやシステムを管理する上で個人情報の取扱いに関する考え方についてご紹介します。

個人情報保護法とは

"" 個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律 ""

引用元：個人情報保護委員会

個人情報保護法は上記引用が一番わかりやすい表現です。企業や組織としてサービスの提供にあたり個人情報が必要な場合があります。同時に個人の方が何らかのサービスを利用する場合、さらに利便性を高めるためにはやはり個人情報の提供が必要です。
個人情報は企業や組織側と個人の両方が安心安全に個人情報を扱うために定められた法律と言えるでしょう。

個人情報を預かるリスクを考える

個人情報を預かるリスクは大きく分けて二つあります。ひとつは情報漏洩、もうひとつは個人情報の濫用です。

情報漏洩のリスクは個人情報と紐付いた情報が漏洩することで、顧客やユーザーの大多数に直接的な被害が出る恐れがあります。

個人情報の濫用では、顧客やユーザー、または社内や組織内の異性に個人的な感情を持ち、立場や権限を悪用して住所や名前などを盗み出し、ストーカー行為に用いるなどのケースが事例として発生しています。

個人情報は、たったひとり分の情報が漏洩しただけでも、悪用されれば犯罪行為に用いられることもあります。大雑把に「ひとりやふたりの情報が漏れても問題ないだろう」などと甘く見ないことが大切です。

個人情報保護法違反における罰則や情報漏洩による損害

個人情報保護法を違反すると懲役や罰金の可能性があります。しかし、正直なところ決して厳しい内容の罰則とは言えないのも事実です。

しかし、個人情報保護法違反＝情報漏洩による損害については想像を絶する損害を受けることが少なくありません。賠償問題となれば顧客やユーザーに賠償金を支払う必要もありますし、風評被害や社会的信頼の失墜によって企業や組織としての継続すら困難になる可能性が非常に高いからです。同時に情報漏洩によって直接的な被害だけでなく、間接的な被害を顧客やユーザーに及ぼすことにもなります。

個人情報は単なるデータではありません。甘く考えたり、軽はずみな取扱いをしないよう周知徹底すべきです。

もっと知りたい！ "統合型IT運用管理「AssetView」製品資料" はコチラ >>

情報システム部やセキュリティ担当として覚えておきたいポイント

次に情報システム部やセキュリティ担当として覚えておきたいポイントをチェックしましょう。

顧客やユーザーが入力した外部からの個人情報

個人情報だけでなく顧客が入力したデータの閲覧や取り扱いに際して、必ず「だれが・どこで」利用するのかを明確にすること、同時に閲覧や取扱い時のアクセスログが残るようにしましょう。なぜなら、個人情報の漏洩は外部からのサイバー攻撃だけでなく、内部不正やソーシャルハッキングによる被害も少なくないからです。

企業や組織内の業務/作業による内部の個人情報

顧客やユーザーなど外部から入力された個人情報の他に、企業や組織に携わる人間など内部の個人情報も狙われています。特にある程度の役職のある人、何らかの権限や地位のある人であれば、漏洩した個人情報を元にさらに被害が拡大する恐れがあるので注意が必要です。なぜなら、直接的に企業や組織に金銭的被害を与えるような内部不正、情報の改竄が行われる可能性があるからです。

情報漏洩は内部と外部の両方で被害が起こり得る

個人情報保護法違反、すなわち情報漏洩は内部の人為的なミス・ヒューマンエラーやソーシャルハッキング及び内部不正、外部からのサイバー攻撃による被害の両方が考えられます。個人情報や個人情報に紐付いた情報はそれだけ狙われているということです。

例えば、氏名や住所、誕生日に加えて、商品やサービスを購入した時のクレジットカード情報、銀行口座、メールアドレス、パスワードなどが同時に漏洩した場合、直接的にも間接的にも様々な形で悪用されてしまうことが想像できます。

情報漏洩を起こさないためにも組織や企業として、コンプライアンスや業務プロセスや作業手順、システム的にも全体のセキュリティ性の向上を考える必要があります。

個人情報保護法を守るために必要な考え方やシステム

個人情報のみを守るというより、情報漏洩をしない・させないという考え方が必要になります。個人情報そのものは個人を特定しうる情報です。そして個人情報と紐付いて企業や組織として得た情報が外部に漏洩してしまうことで、被害が大きくなってしまうことを忘れないでください。

また、うっかりミスやヒューマンエラーを防ぐために、個人情報や個人情報に関連するファイルへのアクセス権や閲覧制限、アクセスログの保存、PC操作ログの保存などシステム面で証拠が残るような仕組みにしておくことも大切です。内部不正やソーシャルハッキングによる被害が特定しやすくなるだけでなく、本当にうっかりミス、またはシステム的に重要書類にアクセスできてしまっているような自体を検知できるようになるからです。

ファイルへのアクセス権限やシステムへのログイン管理はしているけれど、各種ログの取得や管理までは行えていない場合、当社の提供する総合IT資産管理ソフト「AssetView」の利用をご検討ください。個人情報保護＝情報漏洩対策、ウイルス対策、内部不正対策など社内や組織におけるIT資産を守るための機能が備わっております。少しでも興味を持たれた方はお気軽にお問い合わせください。