個人情報保護の全貌

2005年07月20日

会社で個人情報保護の担当者になってから2年以上が経ちましたが、ひとくちに個人情報保護と言っても非常に幅が広いんです。

自分なりに整理してみました。■コンプライアンス
個人情報保護法や自社の規程を遵守するための活動。個人情報保護法やその他のガイドラインなどを参考にして自社ルールを構築し、運用していくことが活動の中心。
これは結果が記録として残るので○×がつけやすい部分でもある。

■リスクマネジメント
情報セキュリティなど技術的なことばかりを思い浮かべがちだがそうではない。
・回避
利用しない個人情報を持たない、利用目的が達成された個人情報を廃棄するなどで個人情報漏洩などを回避すること。収集する前に本当に必要な個人情報かを検討し、またいつ破棄するかを決めておき、確実に実行することがポイントとなる。
・予防
いくら回避しても必要最小限の個人情報は収集し、保管・利用するので、利用方法や保管方法には細心の注意を払わなくてはならない。予防では、ポリシー策定、従業員教育、情報セキュリティ強化などで漏洩や犯罪を抑止することが目的となる。
・軽減
万一事故が起こったときのその影響を最小限におさえることを目的とした活動。事故対応マニュアルの策定や原因究明のための技術的対策(アクセスログをとっておくなど)がこれにあたる。
特に技術的な対策を取る場合に、予防か軽減かを意識することが大事だと思っている。
・保有
いくらコストをかけて対策を講じても最後は人であり、個人情報を取り扱うことを許可された人が不正を働けば事故が起こる可能性は残る。「あの担当者が、こういう不正をすれば事故になり得る」と認識しておくことが保有である。
・転嫁
個人情報漏洩保険などでコスト負担を転嫁すること。
最後の手段だが、転嫁できるのは事故に直接関わるコストのみで売上・利益、株価、ブランドイメージの低下などは転嫁できない。

■認定
プライバシーマークやeTrustなどの認定を受けようとしたり、受けていたりするとこの制度にそった運用が必要になる。


やること多いなぁ。
posted by CISO見習い at 19:04 | Comment(0) | TrackBack(0) | 個人情報保護




この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのTrackBack URL
http://blog.seesaa.jp/tb/5625265
ほっとけない 世界の貧しさ
当サイトでは頂く「トラックバック」は 訪問して頂いた方にとても、大変お役に立つ情報であると考えています。 そのため、記事に少しでも関係のある物に関しましては大歓迎ですが
■記事と全く関連がないと判断される物
■「宣伝」「誘導」を目的とした物

これらに該当すると判断される「トラックバック」つきましては「削除」させて頂いておりますのであらかじめご了承下さい。 同様に「宣伝と判断されるコメント」も削除させて頂きます。



これだけは知っておきたい個人情報保護
岡村 久道 鈴木 正朝
日本経済新聞社 (2005/01)
売り上げランキング: 3,036
おすすめ度の平均: 4.39
4 とりあえず本
4 フレームワークを知るには良い本
5 「これで十分!!」
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。