« 総務省 個人情報の漏えい事案に関するKDDI株式会社に対する措置 | Main | トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 翻訳 »

2006.09.25

内閣府 個人情報保護に関する主な検討課題

 こんにちは、丸山満彦です。内閣府から「個人情報保護に関する主な検討課題」が公表されていますね。

 
内閣府 国民生活局 個人情報の保護
・2006.09.21 個人情報保護に関する主な検討課題

 総論としては、事業者の取り組みの格差、過剰反応問題が中心なのでしょうか。後は、漏えい事件が続いていることから、安全管理措置の問題ですかね・・・

=====
(1)事業者の個人情報保護の取組に格差があることについて
・ 個人情報保護に真摯に取り組むことにより、負担を感じている事業者が存在する一方、法律への対応が不十分な事業者も存在する。
・ 中小・零細企業等は個人情報取扱事業者に該当しない場合が多く、個人情報保護の取組が遅れているのではないか。

(2)いわゆる「過剰反応」について
・ 個人情報の第三者への提供に当たって、法律上、本人の同意を得る必要がないにもかかわらず、法律を誤解し、提供を控えるような場合については、内閣府は法の解釈や運用基準を明確化し、また、関係省庁は分野ごとのガイドラインやその解説等の必要に応じた見直し等を行うとともに、その周知徹底を図る必要がある。
・ 自治会や同窓会の名簿等について、プライバシー意識の高まり等を背景に、本人が掲載を拒否するケースが見られる。また、このような名簿については、本人の同意を得ること又はオプトアウトの仕組みを活用することにより名簿の作成・配布ができるが、このような手続きが負担に感じられること等から名簿の作成を取りやめる場合がある。個人情報を利用するかしないかは当事者の意思に委ねられているが、こうした問題をどのように考えるか。
・ 法律の有無にかかわらず、個人情報保護意識の高まりによって起きている問題もあるのではないか。
なお、自治会名簿の作成が中止される等の背景には、個人情報保護法とは別に住民が地域活動と距離を置きたい等の事情も考えられる。個人情報保護法が、そのような活動から距離を置くことの口実になっている側面もある。一方、地域によっては防災、防犯、地域福祉等の分野で、地域活動への理解を深めている場合もある。個人情報保護法との関連性を論じる場合は、個々のケースを慎重に検討する必要があるのではないか。

(3)広報啓発について
・ 個人情報保護の必要性の周知とともに、いわゆる「過剰反応」に対応して、例えばオプトアウト(あらかじめ、本人からの求めがあった場合には個人情報を削除することを明らかにした上で、名簿等を作成・配布すること)の具
体的手法等も含めた、きめ細かな法の目的・内容の周知が必要。
=====

 安全管理の部分を中心に抜き出すと・・・
=====
(3)適正・安全な管理について
①安全管理措置の水準について
・ 安全管理措置は社会環境の変化で要求水準が変わるが、安全管理措置はどこまで実施すべきか。
・ 情報漏えい等に関するリスクは事業者によって異なるため、事業者は直面するリスクを踏まえた安全管理措置を講じることが必要ではないか。
・ 中小企業等小規模な事業者の中には、費用や人員の観点から十分なセキュリティシステムが整備されていない場合があるが、このような事業者の情報セキュリティ対策を一層向上させることが重要ではないか。
・ 国の情報セキュリティ政策も踏まえつつ、事業者の情報セキュリティ対策の水準向上が図られることが重要であり、事業者の取組を促進するための施策、人材育成及び必要な知識の普及啓発等が必要ではないか。
・ 情報セキュリティマネジメントシステム(ISMS)の中で、個人情報保護の取組を確実に位置付けて取り組むことは、個人情報保護の安全管理措置の水準を向上させるための一つの有効な手法。

②安全管理と労務管理について
・ 特に高度な安全管理措置が求められる分野を中心として、個人情報保護のために、従業者に過剰負荷がかかっている場合もあるとの指摘があるが、これをどのように考えるか。
・ 個人情報保護のために労務管理を行う前提として、事業者の法律の理解不足や従業者に対する研修不足の改善が必要。
・ 従業者の業務状況をビデオ等で監視する(モニタリング)場合は、労使間で協議を行う等、適正な手続きを行うことが必要。
・ 従業者に対する誓約書において、個人情報保護を名目として、営業秘密の保持や損害賠償の請求等の規定を盛り込む事例が見られることについて、従業者への対応が適切なものとなるよう配慮が必要ではないか。

③委託先の監督について
・ 個人データの取扱いの委託先及び再委託先に対する委託元の安全管理の要求が強くなっていることについて、どのように考えるか。
・ 個人情報を委託処理する場合、その取扱いが消費者等(本人)にとって明らかではないため、何らかの透明化が図れないか。

④事業者の保有する市販の名簿の管理について
・ 市販されているもの等、広く頒布されている名簿についても、他の個人データと同様に管理することとされているが、このような名簿については、他の個人データとは別に、事業者の現実的な管理可能性を踏まえた取扱いが検討できないか。
=====

 第20次国民生活審議会個人情報保護部会の議事内容はもう一度目を通しておかなあかんなぁ・・・

【参考】
内閣府 国民生活局 個人情報の保護
第20次 国民生活審議会 個人情報保護部会

内閣官房 情報セキュリティセンター
・2006.06.15 セキュア・ジャパン2006
・2006.02.02 第1次情報セキュリティ基本計画 (HTML版) (PDF版)

|

« 総務省 個人情報の漏えい事案に関するKDDI株式会社に対する措置 | Main | トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 翻訳 »

Comments

丸山 様

夏井です。

問題山積ですね・・・

ところで,オプトアウトですが,実際にはほとんど機能していないので,このスキームはやはり空虚であり砂上楼閣のようなものだと思います。

また,最初から法を守るつもりのない犯罪者や悪徳業者などに対しては,業法(行政法)としての個人情報保護法で対処するのは基本的には無理ですね。別の方法(とりわけウルトラ厳罰の導入)を考慮せざるを得ないでしょう。現実に,この私も毎日のように被害を受け続けています。

個人情報保護のための法的枠組みそれ自体を根本から見直すべきでしょう。

Posted by: 夏井高人 | 2006.09.28 at 10:33

夏井先生、コメントありがとうございます。オプトアウトは気休め程度という意見もあるようですね。確かに、夏井先生がご指摘の通り、実際にはまじめな事業者に対して若干の抑止的な効果がある程度かもしれませんね。

Posted by: 丸山満彦 | 2006.09.29 at 12:57

情報漏洩対策に暗号化。

暗号化すれば、全て情報セキュリティマネジメントが構築できとは思っていません。

で、暗号化していても、漏洩したなら安全管理措置の不備!!を主張される各方面の先生方に一言、申したいです。

では、コストが厳しい、中小企業などでは、経営難に陥っても、情報漏洩対策にやれ、認証サーバー、ファイルサーバー、VPN、ファイアウオール、アクセスログに、教育に・・。

中小企業、中小医療機関などにも、情報セキュリティの一層の構築するにも、なんにしてもコストなどが大きな壁になると思います。

私が最低でも暗号化、(もしろん、信頼できる暗号アルゴリズムを使用したソフト)と主張するのは、コストを最小限に、それでも、できうる限りの情報セキュリティ、特に情報漏洩対策が可能だということです。

現実の経営環境を、先生方に認識してもらいたいですね。
お金ないなら、商売やめろ、と同義語に聞こえます。

簡単に、何十万のお金かけることは実際、難しいのです。
その段階で、情報セキュリティ構築なんて形だけでいい、と考えるところもあります。

ご存知のとおり、コンサル受けてどんなにセキュリティシステム金かけて構築しても、人が裏切れば情報漏洩なんて簡単におこせますよ。過去の事件が証明しています。

トータルソリューション、という言葉での某大手セキュリティの宣伝で、誇大広告の一歩手前というもの大手経済紙で散見されます。
自社では、何もセキュリティ対策しなくてもよいような表現です。
漏洩事故を起こしたら、代わりに罰を受けてくれるのでしょうか?

ひどいところでは、某大手メーカにデータを委託しているから、医療情報は安全です、と宣伝している某検査メーカーもあります。

1番目はお金かけてシステム構築はなく、教育と思います。

まず、一番に守るべき情報資産は何か、費用対効果の高い、情報漏洩対策、情報管理な何かよく考えてほしい課題です。

先生が生徒の情報を入れたUSBメモリをなくすことが怖いから、という教育委員会の方にも意見します。
家の鍵はめったに紛失しません。重要な財産ですから。情報もまた同じ資産でしょう。
それを簡単に紛失するということ自体、先生への基本的な情報セキュリティ教育が皆無に等しいです。デジタル情報は暗号化という方法で紛失時に事件を予防する素晴らしい方法もあるのです。基礎的な情報セキュリティです。
法律が、どうとか、賠償かどうとか言う前に、セキュリティのモラルが向上しないと犯罪天国にだってなりうるのです。

暗号化についても、単に暗号化するだけではなく、暗号化データに対して、無理やりテキストで開いて上書き改ざん可能かどうか、
暗号化処理の段階で、ファイル復元ソリューションを使えば、暗号化ソフトによっては、暗号化ファイルと、元ファイルの復元も可能な場合もあります。
HDのァイル暗号処理する際、物理的に不可能な暗号化処理速度を謳う製品もあります。

雑文、申し訳ありません・・・。
まだ初心者で、勉強させていただいておりますが、特に情報漏洩関連セミナーに行っても、対策説明聞くと、技術的、コスト的にもハードルが高く、「暗号化」については、いつかは解読されるから、で終わる場合も多いのです。

SSLだから全て安全、ととらえられるネットショップ買い物、SSLでならとにかく安全、という暴論?にも疑問を覚えます。

Posted by: 藤木太郎 | 2006.11.12 at 00:51

藤木太郎さま、コメントありがとうございます。個人情報保護のために個人データを暗号化するのは、安全管理措置としての重要な手段だと思います。
 経済産業省ガイドラインでは、暗号化というのを、金庫に個人データを保管するイメージで考えたところがあります。暗号アルゴリズムの強度は、金庫の物理的な強度、パスワード等の長さや複雑性は、鍵がどれだけあけやすいのかという話と対応しています。
 今回の問題は、漏洩時における所管省庁の画一的な対応が、過剰反応につながっている面もあるのではと、個人的には思っています。。。

Posted by: 丸山満彦 | 2006.11.13 at 13:17

丸山先生、雑文をお読みくださり、またお考えも書いてくださり、感謝申し上げます。

私はまだまだ若輩者(年齢は別として・・)なので、お恥ずかしい知識レベルですが、先生のブログで勉強させていただきます。

医療、教育では、噂レベルですが、「個人情報」の重み?が他と異なり、個別立法の話もあるように耳にしたことがあります。

裏社会では、より情報、特に医療情報は高値で取引されていると聞いています。
ともあれ、暗号化、の前に、皆が「情報セキュリティの重要性」を認識していただくことが前提だと考えております。

病院いかれたら必ず貼っている「個人情報保護の取り組み」のパンフの横で、カルテが覗けばみれる現状、医師の所有する患者カルテ電子データの紛失(暗号化すらしていない、知らない)
私が、主に関わる医療業界が一番、セキュリティ教育しないとだめなのかな、と思っています。

米国のカリフォルニア州法(Senate Bill 1386:SB1386)においては、消費者の個人情報を盗まれた可能性があると判断した場合、企業は各消費者にその旨通知するように義務づけています。ただし当該「個人データ」が暗号化されている場合は、この通知義務は免除されます。
このように、この法律では「個人データの暗号化」は義務とはしないまでも、暗号化を実施していない場合は、厳しい情報開示を求める内容になっています。この法律はカリフォルニア州に限ったものでしたが、アメリカ全土に広がるような動きみたいです。

丸山先生の更なるご活躍等、ブログで勉強させていただきます。ありがとうございました。

Posted by: 藤木太郎 | 2006.11.15 at 00:15

藤木太郎さま、コメントありがとうございます。
> 皆が「情報セキュリティの重要性」を認識していただくことが前提だと考えております。
というのは、私も大変重要な課題と思っています。
 情報には、様々なものがあり、また、様々な人が取り扱い、利用するものですから、それぞれの立場でそれぞれが責任を負いながら情報セキュリティ対策をしていくことが求められると思うわけです。
 そのためには、藤木さまがご指摘のように、国民全体で「情報セキュリティの重要性」を認識する必要があるわけです。
 しかし、それをどのようにすれば効果的にできるのか、総論ではなく、個別各論レベルの議論が必要なのだろうと思っています。。。

Posted by: 丸山満彦 | 2006.11.15 at 22:19

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/12031124

Listed below are links to weblogs that reference 内閣府 個人情報保護に関する主な検討課題:

« 総務省 個人情報の漏えい事案に関するKDDI株式会社に対する措置 | Main | トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 翻訳 »