改正個人情報保護法 ~情報漏洩原因と対策~
近年、消費者の購買行動などの情報が、ビッグデータとしてビジネスで活用されています。この背景を受け、個人情報保護法が2017年に改正されました。本記事では、改正のポイントと情報漏洩対策について解説します。
個人情報保護法とは
個人情報保護法は、2005年にこれまで紙で管理していた個人情報がデジタル化され個人データを持ち出しががこれまでより容易になり、欧米諸国や日本が加盟するOECD(経済協力開発機構)がプライバシー保護と個人データの国際流通についてのガイドラインに関する勧告を出したことから各国で法整備が行われ、日本でも個人情報の不正利用や不適切な取り扱いを防ぐため、個人情報を取り扱う事業者を対象に個人情報の取り扱い方についての義務を課す当法律が施行されました。法律の中の個人情報の定義は以下を指します。
- 「生存する個人に関する情報」
- 「氏名、住所、性別、生年月日等特定の個人を識別することができるもの」
- 「他の情報と容易に照合することができるもの」
その罰則はというと、
- 刑事罰:6ヶ月以下の懲役または30万円以下の罰
- 金事罰:数千万~数億以上の支払判例多数
となります。この個人情報保護法が改正されました。
改正個人情報保護法 6つのポイント
2005年に施行された個人情報保護法は、「5,000件以上」の個人情報の保有企業が対象でしたが、2017年に5月「5,000件」撤廃され、保有している個人情報が5000人以下の事業者であっても、適用の対象になります。個人情報データベースの具体例を挙げると、メールソフトのアドレス帳や仕事で使う携帯電話の電話帳があります。
こういったデータベースはほぼ全ての事業者が利用しているので、中小企業や個人事業主を含むほとんどすべての事業者が「個人情報取扱事業者」に含まれます。これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。
改正のポイントは以下となります。
1.個人情報の定義の明確化
「個人識別符号」=直接的に氏名や住所などの個人情報を表していなくても、その情報単体で個人を特定できる情報(顔認識データ・指紋認識データ・マイナンバー等)も対象となります。
2.要配慮個人情報、匿名加工情報の規定の新設
本人に対する不当な差別や偏見が生じないよう特に配慮を要する個人情報(人種や信条、社会身分、病歴、前科前歴等)を「要配慮個人情報」は本人の許可なしに公表してはならない。また、個人情報を加工し、その個人情報を復元することができないようにしたものを「匿名加工情報」として新たに定義されます。
3.オプトアウト規定の厳格化
本人の同意を得ずに個人情報を第三者提供する「オプトアウト規定」を利用する場合、定義づけられた内容を本人に通知または本人が容易に知りうる状態に置くとともに、個人情報保護委員会に届け出ることが義務づけられます。
4.トレーサビリティ(追跡可能性)の確保
個人情報を体系的にまとめデータベース化した「個人データ」を第三者から受領する場合、受領者は、提供者の氏名や提供者が個人データを取得した経緯を確認するとともに、受領年月日や確認事項等を記録し、一定期間保存することが義務づけられます。また、個人データを第三者に提供する場合、提供者は、個人データの提供の年月日や受領者の氏名等を記録し、一定期間保存することが義務づけられます。
5.個人情報保護のグローバル化
日本の住居者等の個人情報を取得した外国の事業者についても原則適用される。外個人情報委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人の同意がある場合、外国への個人情報の第三者提供が可能となります。
6.個人情報データベース等不正提供罪
個人情報保護法の改正により、ほぼ全ての企業が対策を実行せねばならなくなりました。また、罰則規定は、「最大6か月の懲役 または30万円の罰金」及び「情報が流出してしまった被害者への損害賠償」とあります。がそればかりではなく、企業の信用が大きく損なわれてしまうのです。ではその原因と具体的な対策はなんでしょう?
個人情報漏洩の原因は「社内」
「情報漏洩は外部犯によるもの」といったイメージがあるのではないでしょうか。実際に内情をみると、情報漏洩事件における原因の多くはハッキングなどの外部要因ではなく、内部の人間による盗難、流出など内部要因が多くを占めているのです。そう、問題は「社内」で起きているのです。
多くの企業はハッキングなどを防止するためのファイアウォールや不正侵入検知システムなどの導入、不審人物の出入りを制限するためにIDカードを採用や、警備員の配備など対策を実施しています。それでも情報漏洩が後を絶たないのは、実際の漏洩原因の80%を占める内部要因に対して、対策が不十分だからなのです。
情報漏洩の原因で特に多いものは以下となります。
- 管理ミス
- 誤操作
- 不正アクセス
- 紛失、置忘れ
1.管理ミス
「管理ミス」と言ってもどのようことかわかりにくいかと思いますが、JNSAのデータによると、下記のような事例が挙げられています。
- 引越し後に個人情報の行方がわからなくなった(例えば誤廃棄)
- 個人情報の受け渡し確認が不十分で、受け取ったはずの個人情報が紛失した
- 情報の公開、管理ルールが明確化されておらず、誤って開示してしまった
企業において情報管理のルールやセキュリティポリシーなどがあるにもかかわらず、そのルールに則った管理ができていなかったことになります。もしくはそのようなルールが全く決まっていない可能性もあります。
2.誤操作
メールやFAXの誤送信などがこれに当てはまります。宛先を間違える、内容を間違える、添付ファイルを間違えるなど、これこそヒューマンエラーの最たるものです。
3.不正アクセス
管理ミスや誤操作と比較すると割合は低いですが、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。ベネッセの事件はこれに該当します。
4.紛失、置忘れ
仕事上パソコンなどの情報機器やデータを外部に持ち出し、紛失・置き忘れしてしまうケースです。最近では、タブレット型のパソコンや、スマートフォンにもたくさんの情報が入っていますので、その取り扱いには十分な注意が必要になります。
情報漏洩の具体的対策
具体的に情報漏洩が起こらないようにするにはどうすれば良いのでしょうか。対策としては、大きく2つに分けられます。
- 情報を扱う人に対する啓蒙と意識の向上を図ること(教育の徹底)
- 情報システム側で容易に持ち出せないように、そして持ち出しても活用できないような仕組みを実現すること(システムの導入)
これは、情報の保全はそれを使う人と扱うシステム両方の側で対策を進めるべきであり、どちらか一方では、不十分であると考え方に立っています。1.については、下記の教育を徹底しなければなりません。
1.情報を扱う人に対する啓蒙と意識の向上を図ること(教育の徹底)
下記の教育を徹底することをお勧めします。
- 情報は持ち出さない
- 情報の安易な放置はしない
- 情報の安易な廃棄をしない
- 不要な持込みの禁止
- 鍵をかけ、貸し借り禁止
- 情報の公言の禁止
- 管理者へ報告すること
なかでも情報漏洩の原因として多いのはパソコンやUSBメモリなどの置き忘れ、紛失等による流出です。これによるものが情報漏洩の約半数を占めます。「情報は持ち出さない」を徹底するだけでも漏洩リスクは相当減ります。
2.情報システム側で容易に持ち出せないように、そして持ち出しても活用できないような仕組みを実現すること(システムの導入)
セキュリティ対策システム導入については、下記ポイント参考に選択してください。
- 操作ログを取集、ルールが操作時の通知
- 外部接続端末(USB、スマートフォン、HDD)の利用制御
- 会社のルールに定めの無いソフトのダウンロード制御
- インターネットからのサイバー攻撃(マルウェア等)対策
なかでも、「インターネットからのサイバー攻撃」の対策は企業としてはこれまでの脅威に比べ非常に進化が激しく、複雑さが増しています。管理するための時間を効率化するためにも、是非優れたシステムの導入をお勧めします。