カテゴリ:情報セキュリィティ( 23 )

個人情報の開示請求への対応

第1回:個人情報保護法施行に伴う緊急事案を検証する

 個人情報保護法が施行される中で、当然急がなければならない課題には,対外的課題がありますが、個人情報の開示請求への対応には難しいケースが多々想定されます。
 法により、個人情報の開示・訂正・削除の請求が出来ますが、これは、個人情報取扱事業者に該当しない企業に対しても関係なく行われると言うことで、全ての企業が対象になると言うことです。
 「当社は法の対象の個人情報取扱事業者に相当しませんので、お応えできません」で、通用すれば良いのですが、企業イメージは保証の限りではありませんね。

 個人情報取扱事業者として,開示を求められた場合の対応として,「無条件に開示する範囲」,「ケースバイケースで開示する範囲」,「絶対非開示」とする3つの範囲をあらかじめ決めておく必要があります。
[PR]
by yuji_oga | 2005-03-27 22:54 | 情報セキュリィティ | Trackback

個人情報保護法 全面施行までに完了すべき項目の概要

【セミナーリポート】:今すべき個人情報保護対策の具体例とは? - nikkeibp.jp - SMB IT

 最終チェックに使えます。

●全面施行までに完了すべき項目の概要

 個人情報保護管理者(CPO)内部監査責任者などの設置 =取締役会または経営戦略会議

 個人情報保護方針(プライバシーポリシー)の策定・公表(自社Webサイト)=取締役会または経営戦略会議

 個人情報の洗い出し・一覧表化と、法令などの要求事項との対比 =個人情報保護管理者

 社内規定化 =個人情報保護管理者が起案して取締役会または経営戦略会議で承認

 法定公表などの事項のWebページでの公表 =個人情報保護管理者が起案して取締役会または経営戦略会議で承認

 印刷物などの整備(利用目的の明示対策)=個人情報保護管理者

 委託契約書式の見直しとひな型の作成  =個人情報保護管理者

 顧客対応窓口の整備、申請書式・回答書式のひな型作成 =個人情報保護管理者

 実施・社内教育、従業員の誓約書 =個人情報保護管理者

 点検 =内部監査責任者

 見直し =取締役会または経営戦略会議
[PR]
by yuji_oga | 2005-03-21 17:44 | 情報セキュリィティ | Trackback

労働組合と個人情報

 コンサルの方と、労働組合での個人情報漏洩と企業の責任のかんけいについてお話する機会がありました。
 5,000件以上の個人情報を保有していれば、「個人情報取扱事業者」になる。
 個人情報を、「共同利用」したり、新入社員の情報を企業が「第三者提供」していればそれ相応の責任関係が出るが、一般的には組合は独自に情報を収集し保管しているので、双方の関係はないとのことで一致しました。

 ただし、もし漏洩事故が生じた場合、企業の名前が出ることになりイメージダウンに繋がるので、組合に対し個人情報保護の施策実施を要請するなどの協議は必要とも。

 厚生労働省の「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について」では、労働組合については以下のことが書いてありました。

 六  法第二十五条第一項に規定する保有個人データの開示に関する事項

 事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。

 
[PR]
by yuji_oga | 2005-03-21 10:56 | 情報セキュリィティ | Trackback

共同利用 (法第23条第4項第3号関連)

 個人情報保護法の施行まで、秒読みとなりました。
 あらかじめ本人が知りうる状態にしておかねばならない要求事項の、各社の状況を、ネットで見てみました。
 個人情報保護方針、個人情報の取り扱いをホームページに掲載しておくのが良いとされていますが、特に個人情報の取り扱いに注目してみました。
 理由は、この中では、「利用目的」の詳細、自社が保有する「個人情報の項目」、「共同利用」の具体的内容、「開示請求」・「問い合わせ」への具体的な手順が書かれているはずだからです。

 まだ沢山は見れていないのですが、個人情報保護方針は載っていても個人情報の取り扱いまで載せている会社は少ない様です。
 IT業界では、富士通はなくて、FJB(富士通ビジネスシステム)が簡単に触れていて、後のメーカーでは日本IBMがありました。
 製造業では、トヨタ自動車日産自動車がさらりと触れていて、キャノン、花王といったところでは見つかりませんでした。
 証券会社では、野村證券はじめ大手では見つかりませんでした。銀行も東京三菱、みずほ、りそな他見つかりませんでしたが、三井住友グループ各社は揃っていました。

 企業間の連携やグループ内企業間では、ネットワークの発達により多くの情報共有と協働がなされています。この時の個人情報については、第三者提供として扱わない、共同利用が有ります。

共同利用 (法令23条第4項第3号)
次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該当しないものとする。
3 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。



 上記の、個人情報の取り扱いについて書いてある中では、日本IBMと、三井住友銀行などの三井住友グループ企業に書かれていました。
 「共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について」の表現について興味深かったのですが、日本IBMと、三井住友銀行とは会社と会社の業務紹介というかたちで似た手法を使っていました。
 
 三井住友銀行では、開示、訂正、利用停止等の求めへの対応も手数料を含め、開示請求等手続についてとして具体的に書いてありました。(4/1からの但し書き有り)
 前に書いた、日経セキュリィティ会議での、手順をあらかめ企業が決めて公開しておくのがよいとされたものが実行されています。

苦情の処理 (法第31条関連)
法第31条第1項
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
法第31条第2項
個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。


 4月1日には、各社アップされてくるのでしょうが、現時点では、三井住友のページが、最も進んでいる様子でした。
[PR]
by yuji_oga | 2005-03-19 23:57 | 情報セキュリィティ | Trackback

個人情報保護法への対応 最終確認

IT Pro 今週のSecurity Check : 個人情報保護法への対応は万全ですか?~最終確認のすすめ~

 法律で要求されている対外的に必要な項目が出来ているかのチェックは大切ですね。
 言われても、すぐには出来ないものも有りますが、準備が進んでいれば、漏れのチェックになったり、優先順位を変更したりできますね。

 ・個人情報の特定は完了していますか?
 ・個人情報保護の体制が確立していますか?
 ・個人情報にかかわる業務フローは確認できていますか?
 ・情報主体の要求に応える体制は整えていますか?



 
[PR]
by yuji_oga | 2005-03-13 23:50 | 情報セキュリィティ | Trackback(1)

日経セキュリィティ会議(SB-1)

 3/4雪が降率盛る朝、ビッグサイトのレセプションホールに行って来ました。
 リンクを貼らせて頂いている酔うぞさんが、推薦しておられた日本経済新聞社刊「これだけは知っておきたい 個人情報保護」を読んでいましたが、その著者である岡村弁護士と、Niftyの鈴木課長の対談「全面施行を直前に控えた個人情報保護法」が朝一番にありました。
 小田急が雪ではなく、ホームにものを落っことして云々で約30分も遅れ途中から効くことになったのですが、誤解があるかと思いますが、私の聴講メモを転載します。

□対象を、保有個人データに絞って話が進められていました。

□法定公表事項
 ・省庁でガイドラインが異なる。
 ・ガイドライン別に一つの企業の中でつくることは出来ない。
 ・社内向けと社外向けがある。イントラは(社外向けの)公表したことには
  ならない。
 ・社員との契約は就職時に行うのが良い。この4月は、イントラに(情報の
  秘守について)あげ、同報メールなどで通知する方法となる。
 ・利用目的(書面に書いて都度通知出来ないもの)をWebに公表するのが一般的。
 ・ポリシィとは分けて掲載する。
 
□CPO【Chief Privacy Officer】について
 ・役員クラスの就任が求められている。
 ・法務担当があたるのが特に立ち上げ時には望ましいが、副として情報シス
  テム担当も必要。(岡村弁護士)
 ・些末なIDの漏れなど従来は現場レベルで収まったものが、20条(?)に関連
  し隠蔽と判断されるのはいやなので都度判断せねばならず機会が増えるの
  で、そういった判断が出来る人が担当すべき。(鈴木課長)
 ・気が付かない漏洩(ネットワーク上のIPアドレス交換)もあり、人名と遺伝
  子を同じ基準で律しようとしている無理がある。
  企業はデータを活用するために保有するので、活用できなくするのが目的
  ではない。
  
□苦情処理(31条) =クレーマー対策
・手順は企業側であらかじめ決めておいて良い→公開しておく
  保有個人データを特定し、Web等の問い合わせでメニュー化し誘導
  窓口部署の特定(たらい回ししない)
  開示要求などは、本人特定の写真入りのもの(免許証、パスポート)か、
  健康保険証+住民票いりで郵送で受け付け
  手数料は、700円程度で切手同封
  
  いただいた書類は返さない。消した記録は残さない。といった事も明示。
  
・公開の必要がないものなとは、情報を持っていないなど毅然と拒否する。


全般的には、鈴木課長は企業の法務担当の立場、岡村弁護士は企業の通常の活動の立場から、具体的詳細部に触れたお話で、話は尽きず、もっと聞きたかったです。
[PR]
by yuji_oga | 2005-03-06 22:44 | 情報セキュリィティ | Trackback(1)

個人情報保護法対策が全て出来ている企業は、1/3

個人情報保護法施行3カ月前、重要項目対応済み企業はわずか3割 - nikkeibp.jp - 企業・経営

 上記の記事によると、1月末時点で社内規定の作成など重要3項目すべてに対応できている企業は3分の1にすぎないという、アビームコンサルティングの調査結果が出ているとのこと。
 重要3項目は、「社内規定の作成」「組織での責任体制」「従業員教育」で、項目別では「社内規定の作成」が48%済、「組織での責任体制」が30%代なかば、「従業員教育」が42%が対応済みとか。組織での責任体制が決まっていないのに、社内規定が出来ているケースがあると言うこと?

 「社内規定の作成」については、上記の数値の矛盾を感じますが、「技術的安全管理措置」の導入と連動する詳細社内規定といった作業上の問題と、情報開示を有償にするのか無償かといった前例のない未知への取り組みや、第三者と委託先の違いの明確化や委託先の監査を含めた管理のレベルといったあたりが詰め切れず、整備完了には至らないということでしょうし、他の項目が出来ていないのに規定だけ出来ているというのもおかしな話だと思います。
 基の法解釈にファジーなところがある部分は、走りながら考えて修正・改善していくしかないので、未完成だが暫定版が出来たと言うことでしょうか?


 以下のような記事もありました。
 nikkeibp.jp - 本日の必読記事 「個人情報保護法に不安」、中小企業経営の6割超が
[PR]
by yuji_oga | 2005-02-27 10:55 | 情報セキュリィティ | Trackback

個人情報取扱主任者認定制度

 先週(2/1~3)に電車の中で続けて耳にした会話からですが、 世の中には、個人情報取扱主任者認定制度というのがあるのですね。その試験が有ったらしいのです。

 ネットで見てみたら、社団法人日本クレジット産業協会と社団法人全国信販協会が共同で開催(?)しているのだそうです。
 平成6年度に創設され、個人情報の管理責任者および個人情報を取り扱う担当者が、個人情報保護に対する重要性を十分認識し、社内および業界における個人情報に関する意識とスキルの向上を図ることを目的としているそうです。

 協会加盟会社の従業員などしか受験できないようです。
 逆に従業員で、窓口業務など個人情報に接する職場の人は合格が必須となっていて職の確保に勉強せざるを得ない様子。
 経済産業省の協会への通達で、個人情報取扱主任者を置かなくてはいけないことにもなっている。
 難しくはないとの事ですが、勉強しないと合格しないレベルではあるらしい...。
電車の会話でも半分近くが落ちるとか...。

 金融業界は厳しく個人情報保護に対応している一例です。
銀行のキャッシュカードの対応は、消費者への押しつけで、業界ぐるみで情報セキュリィティ管理放棄している(欧米に比べて)と言えますね。
[PR]
by yuji_oga | 2005-02-06 01:18 | 情報セキュリィティ | Trackback

オプトアウト (本人の同意なく、個人データを第三者に提供)

 個人情報保護法は、最初「データの管理」に注目していましたので、情報セキュリィティ管理システムの構築を主に考えていました。
 世間のセミナや記事もそうだったと記憶しています。
 施行が間近になってきて、コンプライアンスで優先して実施すべき項目としては、個人情報の入手時の法対応や、問い合わせ窓口の設置と問い合わせへの対応、「あらかじめ」に準じるもので法規制はされていないが、「個人情報保護方針」のネット上での公開といったところが注目されて来ていますね。

 そもそも個人情報保護法の目的は、成立の経緯は別として、増える犯罪(法がなければ犯罪とならないので、善良な国民が受ける被害と言うのが正解)にたいし、犯罪者につけいられる企業を法律で規制、対策構築させようとするものだと理解しています。

 従って、企業も遠回しにはなりますが、被害者といえるし、直接・間接に投資するお金や人手のコストは膨大です。IT業界では、新規需要の拡大で大盛況ですが...。

 その法律の中に「オプトアウト」というものがあります。
法第23条第2項
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
1 第三者への提供を利用目的とすること。
2 第三者に提供される個人データの項目
3 第三者への提供の手段又は方法
4 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。


 あらかじめ本人への通知または、本人が知りうる状態においておけば、承認がなくても第三者に情報を渡してもよいというものです。
 このオプトアウトは、ダイレクトメール用の名簿を作成・販売する様な業者の為に設けられた概念のようですので、先に述べた法の目的の犯罪を生む情報売買の根元となる場合でも、既得権のある事業は守られるという、中途半端というか骨抜きなところがあることも解ってきました。

  基は悪用する犯罪の増加への(善意の国民を守るための)行政の指導に端を発していると考えていますので、肝心の犯罪者の取り締まりや特に罰則の大幅な強化が必須だとも考えますし、願っています。





 
[PR]
by yuji_oga | 2005-02-06 01:04 | 情報セキュリィティ | Trackback(1)

営業秘密(不正競争防止法)も法改正

ブックマークレット知財Awareness - 増大する知的財産権の「犯罪リスク」 - 不正競争防止法改正における刑罰規定強化の方向性

 個人情報保護と共に、企業にとって漏洩を防止しなくてはならないものに、営業秘密(知的財産)があります。
 情報セキュリィティ管理システムとして、技術的には共通の部分が多く、一括して進めるべきだと考えますが、犯罪が高度化しつつ増えているという背景とはいえ、法律を作る方も、コンプライアンスを実行する方もきりが無くなりそうですね。

 ITの新規需要が増えるかも知れませんが、企業のコスト増もバカになりませんね。
[PR]
by yuji_oga | 2005-01-30 17:20 | 情報セキュリィティ | Trackback