|
 | 2004/6/25 |  |
来春4月に完全施行される「個人情報保護法」に先駆けて6月15日、経済産業省が所管の企業向けに、具体的にどのような対策を取るべきかのガイドラインを発表しました。
パブリックコメントの結果により改訂の可能性はありますが、これをベースに対象企業へ行政指導が行われていく事は間違い無いようで、恒常的に5000件以上の個人情報を扱う業種の中で、これまで具体策を講じていなかった事業所は、いよいよお尻に火が点いたというところでしょうか。
個人情報取扱事業者はこのガイドラインを参考に情報セキュリティ対策を立て、マネージメントシステムとして運用される社内体制を早急に築き上げなければなりません。具体的な個人情報の安全管理措置の実施にはJISX5070(*1)やJISX5080(*2)をまた、社内体制整備にはJISQ15001(*3)を参考にと記されておりますが、今回はこのガイドラインの中からドキュメント処理の管理について関連措置を抜粋してみました。
2)安全管理措置(法第20条関連)
【個人データの取扱いに関する規程等に記載する事が望まれる事項】
(D)消去・廃棄
@)作業責任者の明確化
個人データを消去する際の作業責任者の明確化
個人データを保管している機器、記録している媒体を廃棄する際の作業責任者の明確化
A)手続の明確化と手続に従った実施
消去・廃棄する際の手続の明確化
定められた手続による消去・廃棄の実施
権限を与えられていない者が立ち入れない建物等での消去・廃棄作業の実施
個人データを消去出来る端末の、業務の必要性に基づく限定
個人データが記録された媒体や機器をリース会社に返却する前の、データの完全消去(例えば、意味の無いデータを媒体に1回又は複数回上書きする)
個人データが記録された媒体の物理的な破壊(例えば、シュレッダー、メディアシュレッダー等で破壊する) |
と、まあこんな具合で、何を今さらと言えなくも無い内容なのですが、実際にこの安全管理措置を取ろうとすると、この対策がいかに現実的では無いという事がお分かりいただけると思います。
本ガイドラインにも「責任者・権限・手続きの明確化」というマネージメントシステムでよく使われる表現があり、「個人データが記録された媒体」の最終的な消去・廃棄の具体例はシュレッダーで物理的破壊と書かれています。
これだけを見ると簡単にシステムが構築出来そうですが、CD−RやFDのような媒体物なら管理Noを付け、コピー出来ないといったハード的仕組みを構築すれば一定の管理は可能ですが、書類をシュレッダーするとルール化しても、責任者立ち会いでシュレッダーにかけ、間違い無くこの書類(データ)は消去したと確認する方法は現実的ではありません。
ここで当連載をご愛読いただいている方なら、「個人情報が記載されている書類は、シュレッダーにかけるというルールが存在しているのだから、その通り実行されている筈である」などという前提で構築されている対応策が、マネージメントシステムとは言えない事を、お気づきの事と思います。
面倒・時間が無い・ストレスを感じる等のシュレッダー作業、ついついかけるべき書類が机の引き出しやキャビネットに押し込まれてしまいがちな実状と照らし合わせてどうしたらいいのか?
このあと何をお伝えしたいか?賢明な皆様なら容易に想像が付くのでは無いかと思います。
(*1)JISX5070
日本工業規格「セキュリティ技術− 情報技術セキュリティの評価基準」
(*2)JISX5080
日本工業規格「情報セキュリティマネジメントの実践のための規範」
(*3)JISQ15001
日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(当ガイドラインに基づいて改訂される予定)
|
結城 寛
潟Zキュリティクリニック 所長
鞄本パープル
SEマネジメント開発室 マネージャー |
 |
 |
|
|
