IT セミナー (制作:岡山県)
『 待ったなし!
平成 17 年4月個人情報保護法施行 』
アライドテレシスホールディングス(株) 総務部 セキュリティ・マネジメント担当 シニアマネージャー扇畑 雅博
氏 講師プロフィール 扇畑 雅博 (おおぎはた まさひろ) NPO日本ネットワークセキュリティ協会の政策部会個人情報保護WGに所属。 書籍「個人情報保護法対策セキュリティ実践マニュアル」の共同執筆者。情報セキュリテイマネジメント システムのコンサルティングを幅広く展開中 ご紹介を頂きました、『アライドテレシスホールディングス』の扇 畑おおぎはたでございます。宜しくお 願い致します。 先程ご紹介頂きましたけれども、昨年のちょうど今頃でしょうか。確か3 月だったと思うので すけれども、同じようなタイトルで『待ったなし・・・』という、 個人情報保護法 が施行される よという事で、またその同じような内容のお話させて頂きました。あの時も『待ったなし・・・』と いう事で、今日もまた『待ったなし・・・』ですが。あの時はまだ昨年の3 月でしたので、完全施行 までまだ1 年ちょっと時間があるという、そういう待ったなしだったのです。今日の『待ったな し・・・』は本当の『待ったなし・・・』で、あと残す所2 ヶ月という事になりました。今日は本当の 『待ったなし・・・』という事で。前回はタイトル、やはり 個人情報 という事でお話をさせて頂 きましたけれども、どちらかと言うと「 個人情報 とは一体何ですか」とかですね、 保護法 が一昨年成立しておりますけれども、「 保護法 とは一体どんな内容の物でしょうか」と言った ような、概要のお話が中心で、個人情報というのはいかに保護するというのは非常に大事な事で すよという内容が中心だったと思います。で、時間も1 年ちょっとありますので、「まあ、少し時 間を掛けてゆっくり各社様、対応されてはいかがでしょうか」という事で締めくくったのです。 それから1 年ほど経ちまして、あと 2 ヶ月で 4 月 1 日を迎える事になります。私もこう言ったよ うな場所にお邪魔させて頂いたり、それから色んな所で雑誌だとかに掲載させて頂く機会が結構 あるんですけれども、やはり聞いてみますと、「準備がもうだいぶ、出来上がって来たよ」と言う お客様、会社様もいらっしゃいますし、「分かっているんだけれども、まだ準備がいまいちね・・・」 と言う所もまだあります。色々バリエーションございますけれど、いずれにしても、もう残す所 2 ヶ月になりましたので、今日は抽象的な話ではなくて残された時間の中で、「一体、どんな事を 具体的にやって行けば良いのか」と言ったところを中心に、お話をさせて頂ければというふうに 思います。出来るだけ抽象的な話を避けて、具体的な話をしたいと思います。 良くセミナーに来られると、1 時間なり 1 時間半なり話を聞いているその時は、非常に良く分IT セミナー (制作:岡山県) かるのです。私もそうなのですけれど、「なるほどな」と言うふうに思って、「じゃあ、この聞い た事を会社に帰って、やってみようかな」と思って机に着いて、そのセミナーの資料を見返して みるとですね、具体的に何をやったら良いのかやはり分からないのです。その時は分かったつも りで居るのですけれども、実際に会社に帰って具体的に何かをアクションを起こそうとしてみる と、中々、具体的に何をやったら良いのか分からない。頭の中では分かっているのだけれども、 体が動いてない、動かないと言ったような事がありますので、お手元にお配りしてあります特に 後半の所なのですけれども、幾つか具体的な手法と言ったような物も載せてありますので、その あたりを交えてお話をしたいと思います。 私もこう言ったような話をしたりする機会が多くて、それから社内の中でもですね、ご案内の 通り、現在『アライドテレシスホールディングス』というグループ会社の、うちは親会社と言っ たような所におりまして、全体の、いわゆるマネージメントシステムというのですか、を担当し ている所です。それで丁度、ちょっと私どもの事で恐縮なのですけれども、今年の5 月にですね、 情報セキュリティの認証規格であります ISMS というような規格がございまして、これは私ど も既に昨年取得しておりますけれども、この5 月に継続審査を受けるという事になっておりまし て、その準備を今、社内の中でも進めている所です。それと同時に、やはり我々にとっても今年 の4 月というのは重大な時期を迎えますので、社内の中の個人情報の取扱いというのが、どうい うふうになっているのかと言うのをですね、昨年この講演をさせて頂いた時から、ずっと社内で やっているわけですけれども。よく、「個人情報を洗い出しなさい」こういうふうに言うのですけ れど、やはりその洗い出しをしてみると色んな事が分かって来ます。データベースの中にちゃん と格納してある個人情報であれば、意外と、「ああいう物が入っている。こういう物が入っている」 と言うのが分かるのですけれど、実際、よくよくこの社員ひとりひとりに聞いてみると、色んな 個人情報を持っている。同じ顧客情報でもデータベースというか、サーバーの中に入っている物 もあれば、まあこれが大半なのですけれども、実はそこから個人がローカルにコピーをして来て いるのです。例えば、今ここにノート PC がありますけれど、これはネットワークでサーバーに つながっています。そうすると、顧客情報をサーバーから取り出してこの中に入れている。それ から、例えば何かをしようと思って、お客さんの所に行こうとして、ノート PC を持って行く事 が出来ない。そうすると、今こう言った、皆さんお使いだと思いますけれども電子媒体と言いま すか、USB のメモリーがありますよね。相当な量が入る記憶媒体なのですけれども、こう言った 物を社員がいっぱい持っているわけです。それから携帯電話。会社から支給している携帯電話は、 まだ管理が行き届きますから良いのですけれども、個人が持っている携帯電話。この中に、お客 さんの電話番号ですとか名前ですとか色々、いわゆるアドレス帳と言われるものが入っています ね。で、これはやはり管理しなきゃいけない。とか、あとPDA 端末というのでしょうか。色んな 事が出来るような機器がありますけれど、そこにも色んな情報が膨大な量を入れる事が出来る。 こう言った物を、やはり社員が持っている。そうすると、これをどうやって管理して行くのかと いう事になって来ると、「表面上のデータベースのアクセス権をきちっと設定をして、取扱いに注 意しましょう」では済まない。という事が段々段々分かって来て、取扱いをきちっとルールを作 ってこまめに管理して行かないといけないという事が、実は実体としても良く分かったという事 がございます。恐らくそれは、私どもの会社だけの話ではなくて、こちらにお集まりの皆さんも
IT セミナー (制作:岡山県) 全て、やはりそういう事を常日頃、悩んでいらっしゃるのではないかと思います。そういう方も 含めてですね、具体的な所を少しお話して行きたいと思います。 前置きはそれ位に致しまして、個人情報の保護に関する内容をお話するのが、今日は中心でご ざいますが、実は個人情報というのは会社の中に沢山ある情報の中のほんの一部でございます。 本来は、個人情報をどういうふうに管理するかという事ではなくて、いわゆる情報と言われる物、 これを全て管理するのが本筋だというふうに思います。で、会社の中にある情報というのはどう いう物があるかと言いますと、技術情報。技術系の会社では当然、技術情報が沢山あると思いま す。それから知財情報。それから、売上等の内容を含めた営業関係の情報。それから経営に関す る情報。こう言った物、沢山あると思います。それから、お客様の情報。それから社員に関する、 いわゆる人事情報ですとかそう言った物ですね。こう言った物がある。本来ですとこれら全体を 含め、ここには営業秘密というふうに書いてございますけれど、営業秘密の情報。こう言った物 を、全て管理するべき物であります。平成16 年の 1 月に 不正競争防止法 というのが改正、施 行されております。今までこう言った情報の持ち出しとか、不正な開示ですね。こう言った物に ついては、それほど重たい罰則が無かったのですけれども、この16 年 1 月の改正、施行では、情 報という物に対する取扱いが非常に厳しい罰則が付いております。それに呼応するようにして、 経済産業省の方からも 営業機密に関する取扱いのガイドライン という、指針が出ております。 要は、「情報を、広く重要な物として扱いなさい」と。で、「具体的にどういうふうに管理するの かというのを、そこで考えなさい」と今、そういう指針が出ているのです。そこにあるのは、「個 人情報だけを限定しているのではなくて、広く営業に係わる自社の機密情報。こう言った物を全 て管理しなさい」というふうな謳い方をしております。本来、そういう事を考えないと、ここで はいけないという事です。ただ、今 個人情報保護法 と言う事で成立しておりますけれど、個 人情報の取扱いが、他のこう言った諸々の情報の取り扱い方と少しが違いがありますという、手 法が違いますよという、そういうだけの事でございます。というのは、この個人情報というのは 名前の通り人に密接につながった、リンクされた情報でございますので、当然その取扱いは他の 技術情報とは少し違うという点があります。ですから、その点が違うという事だけを頭に押さえ ておけばですね、ひとつのこの個人情報の対応をする事が、全ての対応にも逆につながって行く というふうになるというふうに思います。 今、機密情報という事をここでお話を致しましたけれども、「じゃあ具体的にどうやって対策を して行くのですか」という事なのですが。 個人情報保護法 を見ると第4 章に色んな事が書いて ありますが、実はよくよくその中身を見て行って対応しようとすると、これは実は業務改善と同 じ事だと、同義だというふうにも言えると思います。要は、「個人情報を取得する時には、目的を 明確にしなさい」とかっていう事が色々書いてありますけれど、じゃあ具体的にどうやって利用 の目的を明確にするのですか。どういう手段で今度やって行けば良いのですか。その時に、現状 やっている業務とどういうふうにつながりがありますか。という事をやはり突き詰めていかない と、根本的な解決にはつながらないで、やはり後でも少しご紹介致しますけれども、業務フロー をきちっと明確にして、もし問題点があれば、それも一緒に直して行くという事が必要になる。 そういう広い意味でやはり、業務改善をこの中で一緒にやって行くという事が必要になって来る と思います。それからもうひとつ。ここに「 ブランド力 → ビジネスインパクト 」というふ
IT セミナー (制作:岡山県) うに書いてございますが。最近、消費者、いわゆるステークホルダーと言われているわけですけ れども、そちらからの会社に対する個人情報、或いは機密情報に対するその取り扱い方に対する 物の見方というものが、非常に厳しくなっています。やはり自ら、きちっと対応していますよと いう事が、やはりひとつの、その会社のステータスにもなる。それが牽いては売上増につながっ たり、信用の増大、そう言った事にもつながっていくという事もありますので、この機会に是非 きちっとした対応をして、まわりのお客様から、消費者から信頼されるような、そういう会社に 是非なっていけたらなというふうに思います。 ここにありますが、 保護法 を見てみると最後の所に罰則というのが付いていますけれども、 何も罰する事が目的ではなくて、「どういうふうにきちっと管理をしていましたか」という事が問 われるという事でございます。で、管理責任を問うわけですから、経営として・・・まあ社員に対し てでも良いのですけれど、具体的にどういう管理をしていますか。どういう管理をしなさいとい う事を、きちっと指示しているか、していないか。という事が、もし何か大きな問題があった時 に問われるという事だと思います。で、お恥ずかしい話なのですけれども、私どもの会社もこう いう事はまだまだ徹底が十分ではないのですが、例えばノート PC の持ち出しだとかですね、先 程お見せしたこう言ったUSB の持ち出しにしても、本人任せという所がけっこう多いのです。本 来ですと、やはりこの中に機密情報が入っているわけですから、この機密情報を会社から外に持 ち出して良いのかどうかという事は、上司或いは経営者、ここがきちっと指示を出さない限りは、 本来、持ち出してはまずいと思います。放置しているのか、あえてそれをしないのか、それは分 かりませんけれども社員任せ、必要に応じて、社員が誰の許可もなく持ち出している。で、まず い時には無くしてしまうとかですね・・・というような事が、「その時に、どういう管理をしていま したか」という事が、必ず問われる。ちゃんと会社の指示があって持ち出していたのか、それと も無断で持ち出しをしていたのか。で、その無断は会社が放置していたのかどうかという事が、 やはり問われると思います。この辺りが、これから重要な問題になるのではないかというふうに 思います。その所が、具体的な取扱いをちゃんと指示をしていたかどうか、という事です。 先程、「じゃあ持ち出して良いの、悪いの」という話をしましたけれど、誰が決めるのか、この 中に重要な情報が入っているというけれども、本当にこれ、重要な情報なのですか、それとも漏 れても良いような、いわゆる公開可能な情報なのですか、という事を誰が判断するか。やはり経 営者なり、或いは管理職の人がきちっと、これは重要だ、これは中程度の重要性があるなという 事を、きちっと判断をしてやらないといけない。そうすると、「最重要な情報の持ち出しについて はどうするの」、「中程度の情報の持ち出しについては、どうすれば良いの」という事を、やはり 都度決めないといけないのですけれども。「都度、決めるのですか。それとも、ルール化されてい ますか」という事です。やはり、ここにありますけれども、あるルールをきちっと作ってそれを 明文化して、会社としてはこういうルールで運用しているのだぞという事を、社員の方に指示を 出すという事が必要ではないかと思います。まあ、このルール、どういうルールがあるか、どう いうルールを作って行かないといけないかという点については、後程、また幾つか例を示したい と思います。で、「ルールもあります。ルールも明文化しています」。そうすると、「じゃあ、これ どうやって守らせるのですか。実践させるのですか」という事が、次に問題になります。まあこ れも、いろんなやり方があるでしょうから、幾つかまた御紹介したいと思います。それから、「持
IT セミナー (制作:岡山県) ち出しをしていました。許可が得られました」と言いますが、「口頭で許可を得るのですか。それ とも何か、明示的な許可を得るような仕組みにしますか」という事です。ここでは、実施記録で ある証拠が必要だというふうに言っています。持ち出しをする時もある記録簿に沿って、「これを 持ち出します」、「こういう情報が入っている物を持ち出しますよ。良いですね」という事で書面 にして、上司なり或いは部長さんなりの承認を貰って、堂々と持ち出して行く。その時にその承 認、いわゆるハンコですね。それを、ちゃんと貰うという事が必要になってくる。問題が無い時 には非常に手間が掛かってしょうがないのですけれど、実際に何か問題が起きた時に、さかのぼ って見た時に、「一体、誰が責任を持って、持ち出しの許可をしていたのか」という事が、やはり 履歴が追えない。その為には、記録を残しておくという事が重要な要素になるだろうと思います。 こういった事を実際にやろうとするとです、やはりお金が掛かります。見えるお金じゃなくて、 それも勿論ありますけれど、管理工数と言いますか手間隙、これを人件費に変えると、やはり相 当なお金が掛かります。ただお金を掛けないと、対策というのはやはり出来ないだろうと思いま す。お金も掛けないで何もしないのだけれども、だけど 保護法 だけは守りますという、そう いう虫の良い話ってやはり世の中、ないだろうと思います。経営者の方、辛いだろうとは思いま すが、やはり色んな対策をするお金、それから人件費増が掛かりますよという事は是非、覚悟し ておく必要があるのじゃないかと思います。 それで、次にここから何枚か同じようなスライドがございます。これは私どものお客様から要 求をされている、実体でございます。私ども、コンピューターの周辺機器を作っておりますメー カーでございますが、「じゃあ、そのメーカーと個人情報と、どう関係があるの?」という事なの ですが、要はコンピューターの機器を販売させて頂いています、そうすると故障があります、す ると保守契約を結ばせて頂くのですけれども、保守契約を結ぶ時には当然、契約を結ぶわけです から、そこにお客様の個人情報だとか、或いは個人情報に付随した、色んな技術情報だとかこう 言った物がセットになって、私どもに一時、預からせて頂きます。そうすると代理店さんから、 この保守契約について「それをきちっと管理して下さいよ、アライドさん」、こうなって参ります。 その時に、現在こういうような内容を私ども実際に今、受けております。具体的に言いますと、 これは契約書という形にして交わす事になりますけれども、具体的な内容としては、「代理店さん から私どもに預かるその個人情報を、扱う者をまず特定してくれ。誰でも彼でも、預けた個人情 報を使って良いってわけじゃないですよ。まず、特定して下さい。特定した者以外への情報の開 示は禁止します。それから勿論、改ざんしてもらっては困ります。それから今回は保守として個 人情報を預けているのだから、それを超えた範囲の利用をしてもらっては困ります。お客さんの 住所だとか名前だとかありますが、それを勝手に、私どもの別の商品を売る為の、ダイレクトメ ールを出す為に使ったりしてはいけません。それからコピーとか、或いは黙って私達のデータベ ースに顧客情報を入れたりだとか、そんな事はダメです。それからもし何かあった時、これはお 宅の全責任ですね」という事です。ここに、「退職者とか元派遣社員とか、再委託先も・・・」とか 書いてございますが、当然、私どもも実際に処理をして頂く外部の方にまた、お願いをするとい うケースは当然ございます。そう言った所からもし問題が出たとしても、「これは『アライド』さ ん、あなたの所の責任です」という事です。「全責任を取って下さいよ」という事です。それから 「保守が終わって期間が終了すれば、個人情報をちゃんと返してね」と。で、この辺りまでは、ま
IT セミナー (制作:岡山県) だまだ委託契約だとかそこら辺の中に従来から盛り込まれていたような内容ではないかと思いま すが、ここから後ろの方が段々段々、厳しい内容になって来ています。 先程ここに、特定者という事がございましたけれど、「その人から、ちゃんと取扱いますよとい う誓約書を取り交わして、取り付けてください。そのコピーを出して下さい。それから、これは 当然ですけれども、個人情報を『アライド』さんの中で使うのはAさんとBさんとCさんです。 じゃあこの人に対してきちっと安全に、その個人情報を取り扱えるような事を徹底させて下さい ね。当然その中には責任者を置いて、問題が解決できるような体制を作って下さい」という事が あります。ここには「機密情報の管理者を選任して通知してくれ」と、こういう要求もあります。 この管理者というのは、会社としての、顔としての責任者を置きなさいというひとつの顔と、も うひとつは実際の現場での管理をする人、このふたり。ですから個人情報が色々分かれれば、顔 となる・・・いわゆる統括責任者というのが会社としてひとり居るのですけれど、個人情報が色々、 種類に分かれるとすると、「それぞれごとに責任者をきちっと選んで知らせて下さい。それから、 どういう安全な管理をするつもりですか、という計画書を作って出して下さい。それから、個人 情報を預けるのだけれども、『アライド』さんの中でどういう機器を使ってやるのですか。このノ ートPCを使って処理するのですか。あれを使ってやるのですか。その時に、これとこれとこれ の機器ですね、という事をちゃんと特定してね」と。それから、「出入り、これも厳重にして下さ い。出入りも、物理的な鍵じゃダメです。ICカードで、常にオートロック掛かっていて、IC カード、接触でも非接触でも良いのですけれども、かざすと入れる。入った時に、リアルタイム で入ったというログを残して下さい。そのログは一定期間、保管して置いて下さい。それから、 一連のこういう対策をやるけれども、あなた方自ら・・・(あなた方というのは『アライド』ですが)、 『アライド』自ら内部監査をして、本当に徹底しているかどうかを調べてね」。 後はここに、再委託の問題です。『アライド』からまた更に次の会社に出す時にも、こういった ような事をちゃんとやって下さい。再委託の件については、従来から業務委託契約の中には色々 入って参りますが、後はこのあたりですかね。最近、話題になっているのが、この立入監査です。 年に1 回、「『アライド』さん、あなたの所に立入検査させて下さい」と。検査という名前じゃな いですが、立ち入って調査をさせて下さいという柔らかい言葉なのですが、「実はちゃんと調べま すよ」という事を言っています。「信用できませんからね」というつもりもあるのかも分かりませ んが・・・『アライド』に対する立ち入りもあります。それから『アライド』がもし外部に発注して いたとすると、「その外部に対する立ち入りもさせてくれ」という要求です。後は、賠償の問題。 だいたいこう言ったような内容が、連日私どもに契約を交わすようにという事で、色んな会社さ んから今、言われております。先程言いましたように、これをもし全部をやろうとするとですね、 先程言いましたようにコストが掛かりますという事で、色々議論をしている所でございます。こ ういったような事が現実、今起きているわけでございます。 そう言ったような事をちょっと理解して頂きながら、次に進めて行きたいと思いますが。 個人 情報保護法 が施行される事によって一体、何が変わるかという事をちょっと掻い摘んで見て行 きたいと思います。これまでは日本人の、日本の文化という事が多分にあると思いますけれども、 個人情報、或いは情報という物に対してあまり意識してなかったと思います。提供する側もそれ から受ける側も、個人情報は目に見えませんから非常に軽い存在というふうだったと思うのです
IT セミナー (制作:岡山県) けれども、ところがやはり色んな事件が起きたりするとですね、やはり提供する側、自らやはり コントロールしたいという事で、「一旦預けるけれど、預けた中でどういうふうに管理しているの かちゃんとチェックさせて下さいね」というのが本音だと思います。という事で、それを汲んで いるのがこの個人情報の保護法であるのですけれども。こういうように今までは本人と会社、例 えばアンケートを出します、貰いますと言った時の本人と企業との間の性善説で事が済んでいた わけですけれども、 保護法 が成立する事によって、「あくまでも個人情報、預けるけれども、 やはり持ち物は自分の物です。だから会社に対してコントロールしますよ」という事が、大きな 違いというふうになって来ていると思います。従って、主役の交代という事でございます。です から、「貰ったら、もう自分の物だよ」という事ではなくて、預かって使わせて貰っているという 事がきちっと分かってないと、これからの対応というのは難しいだろうというふうに思います。 そう言ったように、 保護法 の基本的な考え方があるわけですけれども、これから対策をする 上において、何を皆さん知っておかないといけませんかという事で、幾つか上げておきます。当 然、 保護法 というやつは知らないといけないわけです。ところが、この 個人情報の保護法 は非常に抽象的な書き方がしてありますので、なかなか分かり難い。これを補う意味で、昨年の 6 月に経済産業省なのですけれども、この補完する意味でのガイドラインが出ています。具体的 に、こうすべきだ、こうしてはいけないよ、と言ったような事が、ある程度書いてございます。 これはここに経済産業省と書いてございますが、他の省庁も昨年の秋冬に掛けて、それぞれ自分 の担当する分野に対するガイドラインがだいたい出揃って来ておりますので、皆さんの業種の所 管、官庁というのですか、そちらから出ているガイドラインを是非一度、御覧になった方が良い と思います。 それから政令が出ています。 保護法 の中には、 具体的な事については、政令に定める所に よる というような表現が幾つかございますが、それはこの506 号、507 号で、特に中心になる のはこの507 号です。「この 6 ヶ月の間に個人情報の数、5000 人分以上の個人情報を持っている 企業は、会社は、この保護法の対象事業者になります。それ以下の所は、保護法の対象外ですよ」、 というような事が書いてあったり、後は先程消費者から「自分の情報をどういうふうに管理して いるか見せて下さい」という事が出来るというふうな話も致しましたけれども、じゃあ見せる時 に会社はどういうふうにすれば良いのか。「口頭で良いのですか。それともメールでも送れば良い のですか」という疑問が出て参りますが、この政令の中には、「原則は書面で開示しなさい」とい うふうになっていますので、書面の準備をしないといけないという事です。もちろん本人が「口 頭でも良いよ」という事であれば、それはそれでも良いのですけれども。原則は紙です。そう言 ったような事が、この政令の中に書いてございます。 それから基本方針。これはちょっと後でまた、幾つかご紹介しますが、政府としてこの保護法 を広く浸透させる為に、どんな事をやらなきゃいけないのかという事はもとより、事業者が基本 的にはこんな事をやって下さいね、やったら良いですよ、という事がこの中に書いてございます。 それから最後にJIS 規格が載っております。これは第三者認証の規格でございます。いわゆるプ ライバシーマークと言われる物ですが。こう言った物を是非、参考になさったら良いのではない かと思います。 それから、ずっと個人情報、個人情報、というふうにお話して参りましたけれども、個人情報
IT セミナー (制作:岡山県) と広く言っても大きく3 つに分かれております。 個人情報データベース等 というのと、 個人 データ 、それから 保有個人データ 、だいたい3 つに分類されています。それぞれによって、 対応する個人情報の保護法の対応条文が違っています。例えば、 個人情報データベース等 とい うのは、コンピューターの中に入って、いつでも検索できるような状態になっている個人情報の 事をデータベースと言いますけれども、これをデータベースの中には、こう言った条文が対応し ています。利用目的を特定しなさいとか、利用目的を制限しなさいとか。そう言ったような事が 書いてあります。 それから先程政府が、国が、基本方針を出しますというようなお話を致しましたけれども、書 いてある内容は義務というわけではなくて、書き方としては「望ましい」とかですね、「∼する事 が重要である」という表現がしてございます。例えば実際に各企業が 保護法 の対策を行うに 当っては、保護方針を策定してそれを公表する事が大事だよという事があります。これが対策の ひとつになります。具体的な対策です。 それから、目的以外の利用をしない事。後でもお話し致しますけれども、個人情報を預かる、 頂く、その時には「こういう目的で使いますよ」という事を通知、もしくは公表しなさいという 事になっていますので、予め目的を特定しないといけないという事になります。特定したからに は「それを超えて取扱いません」という事です。これを宣言する事が大事ですよ、という事を言 っています。 それから先程、消費者からのコントロール権という話を致しましたけれども、もし万が一その 消費者から見て疑わしい取扱いをしているのじゃないかという事があった時に、容易に苦情なり、 或いは質問なりができるような仕組み、社内体制を作っておいて下さいねという事があります。 これもやらなければならない対策のひとつになります。 それから、もし万が一、「情報が漏れてしまいました」と言った場合には、できるだけ速やかに 公表して欲しいと。つまり二次被害を出来るだけ早く食い止める為に、「申し訳ないのだけれども、 漏洩してしまいました。パソコンがなくなってしまいました」という事を公表して、被害の拡大 にならないようにして下さい、という事です。 それからあと、先程も出ましたが、管理者。「一体、誰が責任を持って管理するのですか」、そ れからアクセス管理「誰と誰と誰にこの個人情報を使わせるのだ」、という事をきちっと決めて、 管理をして下さいという事。それから先程も持ち出しの話を致しましたけれど、安易に持ち出さ ない為の対策。こう言ったような体制を作って下さい、という事です。それから後は管理、監督 の話です。 それから、色んなルールを作るのですけれども、やはり守るのは社員の方なのです。そうする と、どうやって守るかという事を教育してあげないといけない、と言ったものが重要です。それ から、苦情処理という言葉が出ましたが、具体的にその問い合わせを頂いた時に、どういう体制 で苦情の対応をするのか。まず窓口がきっとあるでしょうけれど、窓口の人は個々の個人情報の 取扱いを現場がどういうふうにしているかというのは中々分からないので、どういうルートで確 認をすれば良いかという事も含めて、手順を決めておいて下さいという事です。ここでも、幾つ か具体的な話が出ます。勿論これは義務じゃないのですけれど、実際に対策をしようとすると、 こう言ったような事をやっていかないといけないという事でございます。それで、今までの抽象
IT セミナー (制作:岡山県) 的ではございますけれども幾つか対策をお話したのですけれど、この個人情報を保護する為には まず最低限、この 個人情報保護法 への対応をしないといけないという事です。で、 個人情報 保護法 というのは、ああやってはダメですよとか、こうしないとダメですよという、非常にピ ンポイントに出しているのです。具体的にどういう手順でやりなさい、とかは書いてない。労働 基準法と同じで、最低限のレベルの所だけしかここでは言っていませんので、勿論ここの対策を 施すという事は最低限の線です。ここでは静的な対応というふうに書いてございますけれども、 瞬間風速の対策になっています。ところが、もっと広く秘密情報の管理、対策というのは、「今日 ここで対策をしたから、はい、お終いです」という事ではないのです。やはり会社が存続する限 り、ずっと何がしかの対策をして行かなきゃいけない。そうすると、「毎月毎年、どんな事をやっ ていけば良いのですか」という事をマネージメントして行かなきゃいけないという事で、こちら が動的な対応というふうにお話していますが、出来ればこういったような対応までして頂けると、 管理品質のレベルが上がって行くのではないかというふうに思います。で、前半の所でこの 保 護法 へのピンポイントの対策についてお話をして、後ろの方でいわゆるマネージメントシステ ムについてのお話をしたいというふうに思います。 それで、対策なのですけれど、なかなかその対策を思いつかないですね。さっきの政府の基本 方針の所でああしなさい、こうしなさいという話がありましたけれども、あれ位は思いつきます けれども他にどんな事やったら良いのかというのは中々、頭をねじ回しただけでは出てこない。 で、ひとつの考えとして、個人情報というのはライフサイクルがありますという、こういう見方 です。つまり個人情報をある所から集めて、集めたらどこかに入れるでしょう。キャビネットに 入れるかも分かりませんし、電子化してデータベースの中に入れるかも分かりません。そうする と、まず保管がありますね。で、入ったものをじゃあどういうふうに使いますかという、今度は 利用のフェーズ。入った物をもう1 回印刷して、ハガキのラベルを作ってダイレクトメールを出 そうか、という利用のフェーズ、それからもう古くなったので捨てましょうか、というこの流れ です。この4 つの流れがやはりあると思います。それぞれのフェーズでどういう対策をして行く かという事を見ていけば、やり易いと思います。その時に対策を考えるわけですけれども、やは り入手の時と言っても色々あるわけです。その入手の仕方というのは沢山あって、例えばこうい う会場でアンケートを配ります。直接、貰います。そして鞄の中に入れて、会社に持って帰りま すという入手の仕方もあれば、Web で答えてもらって直接データベースに入れるとかですね、サ ーバーに入れるとかっていう電子的に貰うケースもあれば、「ちょっとお客さん、この中に入れて よ」と言って電子的なやつに入れて貰って持ち帰るとかですね、色々なやり方があるので、それ ぞれによって対策を考えて行かないといけない。そうすると、その時にどういう教育があるのか という事。それから、それぞれに対して現在どういう問題点があるのか。この2 つを常に組み合 わせながら対策を考えて行けば良いのではないかというふうに思います。 それで、まず入手の段階の所からの具体的な対策について話をしたいと思います。まずここに、 保護法 の15 条、16 条と書いてございますが、入手をする際には、利用目的を明確にして下 さいという事でございます。まずやるべき事として、利用目的を明確にしましょうという事です。 どういう目的で使うのかという事は、個々の個人情報によって違うはずです。今日も多分アンケ ート用紙があると思いますけれど、アンケート用紙に書いてもらうというからには、それを利用
IT セミナー (制作:岡山県) する目的があると思います。また、別の収集の仕方では、別の使い方があると思います。そのそ れぞれによって、会社としてどういう目的で使うのか、という事を明確にしましょう、という事 です。ここにいくつか例を上げております。「**という事業によって、商品の発送、関連するア フターサービス、新商品やサービスに関する情報を、いわゆるダイレクトメールでお知らせする 為に、皆さんから情報を集めます。だから使わせてくださいね」という話ですね。こう言った書 き方。それから、「氏名とか住所とか電話番号、こういった物を名簿として本にするなりして販売 したいから、個人情報ちょうだいね」と。後は受託の話だと思いますが、「こういったサービスを、 計算処理をうちがやっているので、ちょうだいね」。こういう具体的な書き方を、まずして頂きた いという事です。よろしくないのは、「会社の事業のために使います」という書き方です。これだ と、いわゆる本人が「事業に使います」と言われても、どんな事業に使うのかもさっぱり分から ない。それではやはりまずいので、ある程度具体的な内容にして、目的を明確にしてもらうとい う事です。それぞれ会社さん違いますから、一概にこれだって事は言えませんが、とにかく消費 者が見て、本人が見て、「あ、なるほどね。こういうふうに使っているのだ」という事が分かるよ うな表現、内容にして頂きたい。まず、これを作って頂きたいというのが一点。 ところが、1 回作ったらそれで終りかというと、そうじゃなくて、最初はこういう目的で統計 だけの為にという事で使おうと思って公表して貰ったのだけど、「やはりダイレクトメールも出し たいな」というように、当初の目的とは違うような使い方をしたいというのは、当然あると思い ます。「その時、どうするのですか」というのですけれども、勝手に変えてはいけませんという事 です。まあ、若干の広がりで使うという場合には、「こういうふうに変えましたので・・・」という 事で公表しておけば良いのですけれども、全然違う目的で使うという場合には、同意を取って下 さいという事です。では、「どうやって本人から同意を取るのですか」という事なのですが、幾つ か常識的な対応ですけれども、本人から口頭、或いは書面で「これで良いですか。使わせて下さ いね」という確認を取る。それから本人にメールを出して、リプライを貰う。それからホームペ ージに、「こういうふうに変更したので、宜しくね」で、「OK であれば、ボタンを押して下さい」 と、そう言った仕組みを作るとかですね、そういうふうにして、同意を貰うという事が必要にな ります。これが 2 番目の対策です。ところがですね、10 人、20 人の変更分であれば大した事な いのでしょうけれど、これが千とか万とかという単位になって来ると、そう簡単に変更出来ない ですよね。ですから、ここで目的を明確にする時に、経営者の方と一緒になって、独断で以って 決めるのでは無くて、経営者の方と一緒になって、将来の事も考えて目的を作るという事が大事 だと思います。 それから、「やっと目的も作りました、決めました。先々もこれで行けそうだね」という事にな るのですが、法では先程言いましたように、通知もしくは公表しなさいという事がありますので、 しなきゃいけないです。自分達で幾ら決めてと言っても、これはひとりよがりになりますので、 本人が知って初めて意味がある事なので、「じゃあ、どうやってこれを知らせれば良いのですか」 という事ですが、だいたいこの3 つ位でしょうかね。口頭で本人に伝えるとか、色んなケースが あると思いますけれども、色んなチラシだとか、或いはこういう大勢の方が、消費者の方が集ま るような所であれば、例えば受付けの所にそういう利用の目的を書いて、常に置いておく。そう 言ったような事をやられれば、良いのではないかというふうに思います。これは通知です。
IT セミナー (制作:岡山県) それから公表と言えば、やはり一番、一般的なのはホームページに掲載するとか、ポスターに 書いておいて置くとか、こう言ったような事が出来るのじゃないかと思います。まず、相手に知 らせる手段を講じて下さいという事です。今までのはどちらかというと、これから個人情報を集 めますと言った時にはこれで出来るのですけれども、もう既に皆さんの会社には膨大な量の個人 情報が蓄積されているはずですね。その時点では、「利用目的はこうですよ、使って良いですか」 という事を言った上で集めたわけではなくて、何の了解も無く集めてデータベース化されている のだろうと思います。「その情報についてはどうなのですか」という事なのですか、 保護法 で は過去にさかのぼって「同意を取ってなかったからダメじゃないか」というような事は言ってな いわけです。言ってないですけれど、少なくとも4 月以降も継続して、過去集めた個人情報を使 われるという事であれば、先程お話したような目的をちゃんと明確にして、通知或いは公表して 下さいという事です。 その為には自分の所に一体どれだけの個人情報があるのか、という洗い出しをしないと通知の しようがないですね。公表のしようもないですね。という事になります。沢山ある個人情報を、 全部同じ目的で使っているとは限らないのですね。やはり、ある所ではダイレクトメールを出す し、ある所ではまた統計情報に使ったり、色んな目的で使っている。やはりそれぞれ目的が違う だろうと思いますので、そうすると現在どれだけの情報があって、どういう使い方をしているの かという事をまず調査をしないといけないというのが、この対策のひとつになります。 次に、19 条の中には、 情報をできるだけ正確に保って下さい という事が書いてあります。 この正確性というのは、私が個人情報を預けたとすると、その個人情報というのは生きているわ けですから、少しずつ変わって行くわけです。例えば信用情報なんかもそうなのですけれど、例 えば私、今日アンケートで答えた時に、「私、借金が例えば今100 万円あります」というふうにア ンケートで答えたのですけれども、例えば1 年後を見てみると、もしかすると私の借金というの は0 円になっているかも分からない。でも、データベースの中にはまだ 100 万円と残っています。 これじゃあ、まずいわけですよね。もしかすると 1000 万円に増えているかも分からない。つま り受け取った会社としては、その個人情報がその本人の個人情報を出来るだけ正確に保つように して下さい、という事を言っています。ところが、そんな事できますか、という事ですね。ひと りふたりだったら、毎日電話を掛けて「変わりましたか」って事が出来るのでしょうけど、もう 万となるとそんな事やっている暇はないわけですから、ここにもありますように、「もし訂正とか という事があれば、言ってきて下さい。そうしたら、即行で対応します」という、そう言った受 付の連絡先を公表しておくとか、窓口をきちっと作っておくとかという事をして下さい、という 事ですので、受け付けたならば「対応します」という事を公表しておく。それが対策のひとつで す。 それから、先程データベースの中に入れますと言いましたけれど、データベースに入れて「あ あ、それで安心だ」というわけでは無くて、世間で言われていますようにウィルスだとかハッカ ーだとか色々ありますね、それから社内からの持ち出しだとかあります。それをどうやって安全 に管理するのですか、という事です。 保護法 では、 安全に管理して下さい と1 行しか書い てないです。具体的に、どこまで管理すれば良いかという事が、どこにも書いていない。これは もう、自分で決めるしかない。よく聞かれるのですが、「一体、うちはどこまでやれば良いのです
IT セミナー (制作:岡山県) か」と言われるのですけど、それは、私も一概に「ここまでやれば良いです」という事は、口が 裂けても答えられない。それはやはりそれぞれの会社さんによって、状況なり事情がありますか ら、その会社さんの事情、状況に合ったやり方をするしか無いわけです。 その時の見方として、ここに3 つ挙げていますが、組織的な観点から見てみます。 人的な観点 から、安全管理を見ていきましょう という点。それから先程、入退室の話もちょっとしました けれども、 物理的な安全管理をどうするのか という点。それからネットワークだとかサーバー だとか、そう言ったような機器に対する、 技術的な安全 。どういうふうにして行きますか、と いう点について見ていけば良いと思います。具体的な点についてはこの後の所でまた、色々お話 したいと思います。 とりあえず入手の所は終わりまして、今度は利用、保管、一緒にしてお話しますけれども、保 護法では、従業者それから委託先の監督をしなさい、というのがあります。監督といって、これ また抽象的な言葉で具体的にどうやれば良いのかというのが、中々分からないのですが、例えば こういう事をおやりになったらいかがですか、という事です。まず、先程も言いましたけれども、 どういうふうにして管理をするのかというルールを作らないといけないわけです。それから作っ たルールを徹底させなきゃいけないという事で、社員に対する教育、啓蒙というのが重要になっ て参ります。教育というと非常に重たいですね。やはりすぐ浮かぶのは集合教育。「社員の皆さん、 *月*日に何処ど こ其処そ こに集まって、半日教育しましょうか」と、こういうのがあるのですけれども、 半日も喋るようなネタを誰が作るのですか。大変だと思いますし、それから仕事を放っておいて 半日も集まって教育を受けるなんていうそんな時間、暇ありますか。なかなかそういう事は出来 ないので、重たく考えるとやる方も大変、受ける方も大変。「結局、今年はやはり出来なかった」 で終わっちゃうので、まあ、日常の会議、或いは朝礼とかでも口をすっぱくして基本的な所を管 理者の方、或いは経営の方が個人情報の保護について「こうやるのだ。こうして下さい」という 事を少しずつお話をするとかですね、そう言ったような事も非常に重要ではないかと思います。 むしろ集まって、説明を一方的にしてやると、だいたい忘れます。例えば朝礼で、管理者の方が 毎回、毎回同じ話をする。ほんの一言、二言。これがやはり大事じゃないかと思います。もう、 飽きるぐらいに言っちゃう。酒の席で、「あの課長は、毎回、毎回同じ話ばっかりしているぜ」と いう話題が出れば、逆に考えると、しめたものかな、というような感じが致します。 それから、この利用者の制限ですね。「誰が責任を持って管理をするのですか、決めて下さいね」 って話をしました。それから、「この個人情報、誰に使わせるかという事を、明確にして下さい」 という事です。なかなかこれも、上手く行かないです。上手く行かないのですけど、やはりアク セス権をきちっと設定して、やるべきだと思います。私達も良くあるのですけど、部門で例えば 10 人、或いは 50 人居るとすると、その中から「この情報を A さんと B さんと C さんだけに使わ せます」なんていう事は、なかなか・・・決めるのは簡単なのですけど、使う側からすると非常に面 倒だと。で、結局どうなるかというと、「いいや、もう、部門全員分をアクセスできるようにしち ゃえ」そうすると、「本当に使っているのは、ほんの3 人かも分からないけれども、4 人目が増え た時も手間が省けていいや」という事で、10 人、50 人分のグループ全体にアクセス権を与えち ゃってですね、みんな使えるようにしてしまっているというのが現状じゃないかと思います。そ れでは、やはり、まずいので、面倒かも分かりませんけれど、利用者をきちっと特定するという
IT セミナー (制作:岡山県) 事が必要だと思います。 それから、アクセスログです。これはシステムで取れますので、アクセスログを取って下さい。 *月*日*時に、この情報に、或いはこのサーバーにアクセスに来ました という事を、きち っとログに取っておくという事ですね。それから、どういうふうに利用しているのかという事を、 管理者の方は社長さんなりに、「今のところ、順調に使っていまして、大きな問題は発生していま せん」とかですね、「いやいや。実はこういう問題が今、発生しています」という事を、やはり経 営者の方に、報告が上がるようにしておかないとまずい。問題が起きた時に良くあるのが、記者 会見で社長に並んで、現場の工場長が並んでいて、工場長から「こういう問題点が出て・・・」、「え、 工場長。それ、本当か」というのが記者会見で、初めて社長がその問題を知ったとかというよう な事が往々にしてあるわけなので、個人情報が漏洩したという事も、漏洩するという事もあり得 ない訳ではないので、従って常日頃、報告のルート、これをきちっとして、良い報告もそれから 悪い報告も、上がるように、そう言った環境を作っておくという事が、重要かと思います。それ からあと、やはり保護をして行くのは社員ひとりひとりなので、きちっとルールに従って、「決め られた事は守って行きますよ」と言ったような事を誓約書という形にして出してもらう。出来れ ば、就業規則に必ず、「誓約書を出させますよ」という一文を入れておくというのは、大事な事か と思います。 それからもうひとつ。ポリシーと書いてありますが・・・ルールだと思って頂ければ良いですが、 「ルール違反の時にはきちっと、就業規則に基づいて罰則を適用する」という事ですね。とかく あるのは、「まあまあ、ちょっと。今回は伏せておこうか」というのはありますね。それを1 回や ってしまうと、次に何か問題が起きた時も、「いや。前回はあの人、全然お咎とがめ無しだったのに、 何で私が今回は処分されなきゃいけないのですか」という事になりますので、やはりこう言った 情報に関するルールを遵守するという事も、他の色んなルールを守ると同様に重要なのですよ、 という事を示して行かなきゃいけない。ただ罰則を作るという事では無くて、もし何かあったら やはり、それを適用して行くのだという事。これが大事だと思います。こういう対策です。 これはまあ社員に対する話なのですが、委託先と言いますか・・・に対しても同じような事をおや りになったらいかがでしょうか。契約を交わす。それから、派遣で来て頂く所も沢山あると思い ますが、そう言った派遣社員の方からも出来れば誓約書を取り付ける。なかなか、派遣というの は雇用している訳ではないですから、強制が出来るかどうかという問題とかですね、それから誓 約書に当然、氏名を書いたり住所を書いたりする事になると思いますが、その時に例えば個人情 報の保護という・・・ちょうど今のような話で、本人の同意がやはり必要だとかという問題がやはり 出てきますので、この辺りは慎重に派遣会社とご相談をされた方が良いと思います。いずれにし てもただ、何らかの形での誓約書っていうのは、やはり派遣の方からも、もちろんパート、アル バイトの方からも取り付けておくという事が重要だと思います。 それから、「外部委託先に対しては、監査をしますよ」という事ですね。先程「誓約書を交わし たらどうですか」という話を致しましたが、大体こんなような内容をお書きになったらいかがで しょう。従来から秘密保持義務というのは、何処にも大体、会社に入る時には書かれると思いま す。それ以外に、機密情報の私的利用をしませんという事ですね。「勝手に自分の趣味の為に、会 社の情報を使います、とかっていう、そんな事は致しません」。それから、「もちろんこう言った
IT セミナー (制作:岡山県) 色んなルール、これをちゃんと理解して遵守しますよ」という事を宣言する。それからもちろん、 「機密情報を許可無く外に無断で持ち出すような事は致しません」。それから「私物、例えば皆さ ん色んなこう言ったような物、それからノート PC だって持ってきている方も居るかも分かりま せんし。それから携帯電話もそうですし、PDA もですね、そう言った情報機器を会社に持ち込ん で、業務に利用しちゃダメですよ。いたしません、という事。いろいろ問題が出ますので、それ は致しません、という事です。それから、在職中のメールのモニタリングの同意。これはどうい う事かというと、例えばメールで昼休みにちょっと外の人とやり取りしようかということ、こう いうことも当然あると思うのですよ。これが段々とエスカレートして、業務に差し支える位の量 でやり取りしたり、或いはたまたま添付ファイルをやり取りして、システムに影響が出るとかと いうような事がやはりある訳なので、そういう事が無いにする為に、もしそういう事がありそう だとかって事が何らかの形で分かった時には、あなたのメールの本文はちゃんと調査させてもら います。ログを取らせてもらいますよ」という事を、「良いですよ」という事を同意しておくとい う事です。 これは例えば・・・私なんかもそうなのですけど、就業規則の中にそういう疑わしい、或いは業務 に支障が出るとか、何らかの障害が出る場合には、しかるべき組織がきちっとメールの本文の調 査をしますという事を、私どもも書いてあります。当然、私どものこう言った誓約書の中に入れ ています。ですからメールの本文を、幾ら会社の中だからと言って黙ってこっそりと調査を始め ると、ちょっとまずい。だから、事前に「こういう事をやりますよ」という事をちゃんと正式な 所に謳っておくという事が大切になります。 それから退職時も、「使った情報は管理者に返します、捨てます」という事ですね。それから「辞 めた後も、秘密は守りますよ」。こう言ったような事を誓約書に条文を作って、改めて取り交わさ れてはいかがでしょうか。こう言ったような対策ですね。まあ、あまり無理矢理やると社員から も反発を受けたり、出たりする事もありますので、やはり、目的を明確に経営者の方から本人に お伝えされた上で、実施された方が良いと思います。目的は罰する事が目的ではなくて、漏洩が 会社として、しないようにという事がやはり目的だという事をきちっと説明をして理解をしても らうという事が、経営者の責任ではないかと思います。 それから、委託契約です。やはり、契約を交わすという事は非常に重要な事で、こう言ったよ うな内容を交わされてはいかがでしょうか。特に、再委託に関する事項というのは大事だと思い ますね。知らない間に再委託されて、そこから情報がまた・・・ってケースがやはり今までの中にも たくさんありますので、それが無いようにという事で契約を作っておく事が大事だと思います。 それから、委託したからと言って、委託先から漏れちゃったりして事故、事件になったとしても、 「あなたの所に委託していてあなたの所がミスったんだから、あなたの責任でしょう」という訳 にはいかない。やはり発注者責任という事なのです。これは保護法で、外部委託先の管理監督を しなさいというのがちゃんとありますので、発注したからと言って責任を逃れる事はできない。 やはり、発注者側の責任ですよ、という事です。 それから最後のページ、廃棄です。これもやはりルールを作っておくことが必要だと思います。 やはりそれぞれの情報の重要度、機密度なりの重要度によって廃棄の仕方もやはり変えていかな きゃいけないという事です。単純にゴミ箱に破って捨てれば良いって物じゃなくて、やはり機密
IT セミナー (制作:岡山県) 度が高くなればなるほどそれなりの対策を施して廃棄しないといけない。それから、本当に廃棄 したのかどうかっていう事もやはり確認しないといけない。もしかするとどこかに置き忘れて・・・ という可能性もありますので、やはり廃棄をする時はきちっと会社の許可を得る。得た上で、複 数の人の立会いの下に捨てる、重要な物はですね。で、そうでない物はただ許可を得て、自分で 捨てる。公開しても良いもの、あまり問題にならない物はもう、自分で捨てるとか。そう言った ルールをここで作っておかれたら良いと思います。まず、基準を作っておく。その時の安全性の 対策というのはどういう事を注意しておけば良いですか、っていうのがこの辺りです。やはりシ ュレッダー、或いは溶解という事もありますけれど、して下さいねっていう事。それから PC の データの完全消去。今ここに PC がありますけれど、通常の『Delete』の削除ってやつですね。 削除しても見た目は消えているように見えますけれども、実際には中に残っていますので、これ が、PC が盗まれてディスクごと取り出されたとしても見えてしまうので、やはりちゃんと完全に 消去できるような仕組み。まあ今はソフトなり売っていますので、こう言った物を買って完全消 去するとかですね、という対策をして下さい。それから電子媒体。こう言ったような物なのです けど、これはさすがにソフトを買ってきて消すなんて事をやると大変なので、もう本当にいらな くなったのであればペンチで壊してしまうとか、というのをやって下さい。後は、ちょっと大き な物には、ちゃんと業者さんに委託をしてちゃんと証明書を貰う、という事です。そう言ったよ うな対策が考えられると思います。全てやれという訳では無くて、重要度に応じて対策を施して 行けば良いと思います。 さて、最初に「後でお話します」というふうにお話した、いわゆる安全対策です。これはまあ、 やはり一番予算の気になる所ではないかと思います。まず、組織・人的安全管理措置という事で 幾つかあげています。やはり組織的に対応して行かなきゃいけないので、まず管理者をきちっと 任命して下さい。それから実際に取り扱う現場の責任者、これを決めて下さい。それから利用者 を最小限に絞りましょうという事ですね。それから苦情の受付窓口、これを設置して下さいとい う事。それから、事故が発生した時の対応策を作っておきますという事。これもけっこう大事だ と思います。これは、後でスライドもお見せします。それから持ち出し基準、それから送信基準、 これを決めておかれたらいかがですか、という事ですね。種類によって出して良い物、それから 出す手段、これもやはり変わって来ると思いますので、基準を作っておかれたらいかがでしょう かという事です。こう言った、人に関する対策。 それから物理的安全管理措置という事で、これは主に入退室・入退館っていうのが中心になろ うかと思いますが、特にマシン室だとかと言ったようなセキュリティの高い所に対する取扱いを、 まず決めておかれたら良いと思います。部外者は一切禁止するのだとか、或いは社員でも限られ た人にしか入れないようにするとかですね。そう言ったルールをきちっと作る。それから記録を 取るという事ですね。もし万が一、何か問題が起きた時にさかのぼって、「ああ、あの時刻にはだ いたいこんな人が入ったな」とかですね、そういう事が追えるように記録を取って1 年でも 2 年 でも良いのですけれども、記録を保管しておくという事。それからサーバーを自分の机の上に置 いて使っているというケースがありますけれども、サーバーはさすがに机の上に置いておくとい うのはどう考えても危なっかしい。できればマシン室とか特別な部屋に入れて管理をされた方が 良いと思います。それからここに情報のラベル付けを行うってありますけれども、繰り返します
IT セミナー (制作:岡山県) けど、情報はそれぞれ価値が異なりますね。重要、最重要、一般と仮に3 つに分けたとすると、 「これは最重要な情報だよ」、「これは普通の重要度だよ」という事が見て分かるようにラベル付 けを、分類をしておく必要があると思います。そういうのも1 回棚卸しして、その時に管理者の 方、或いは経営者の方も含めて分類をしておくという事ですね。あと、部屋が無施錠のまま無人 にならないようにという事があります。昼休み、みんなで食事に行って部屋が空っぽ。そういう 事が無いようにという事。こう言った物理的な対策。 それから技術的な安全対策としては、必ずマシンを使うときには、必ずID とパスワードを個人 個人に割り当てて下さい。できるだけ共有のID とか共有のパスワードというのは、避けた方が良 いという事です。問題が無い時には一向に問題無いのですけれども、問題があった時に追跡でき ない。問題があったその時に誰が使ったのかっていうのが全然分からないというのがありますの で、必ずそのパスワード、ID はひとりひとり割り当てるという事ですね。それから繰り返しにな りますけれど、最小限に絞ってアクセス権を設定してやる。A さんには読む事はできるけど変更 は出来ないとか、B さんはリード、ライトが全部出来るとか。そう言った設定をきちっとして下 さいという事。それから、こう言った機密文書や PC とか媒体の持ち出しの許可のシートを作っ て、必ず上司の許可を取って記録を取るという事。それから、後はこう言った機密情報の持ち出 し時や送信時には暗号化するってありますが、実は私の PC の中も暗号化が掛かってまして、不 幸にして仮にこれが置き忘れたとか盗まれたとかしても、ディスクを取り出しても一応読めない ようになっています。こう言ったような対策をする。後は、普通の対応ですが、パッチですね。 常に適用しましょうという事。こう言ったようなことは、技術の方がきっといらっしゃるでしょ うからご相談されて、出来る範囲内での対応をしておけば良いと思います。ここまでが、どちら かというと先程の前半と言いますか、ピンポイントの対策ですね。どうしても、「ああしなさい、 こうしなさい」という話をしていますけれど、どうしても一過性で終わってしまう。4 月 1 日は やっとクリアしたのでほっとして、もう4 月 2 日からは何もしないとかっていう事が大体、想像 が出来そうなのですけれど、それでは何の意味も無いので、やはり4 月 2 日、3 日、来年も再来 年も対応が出来るような事をやはりして行かないといけない。その為には、ここにありますけれ ど、従来から言われているPDCA サイクルによる品質の向上、レベルの向上と言ったような手法 が注目されています。で、ISO9000 とか ISO14000 とか、それから最初にお話しました ISMS と かですね、プライバシーマークもそうなのですけれども、全部このマネンジメントシステムの考 え方を取り入れています。継続的な改善という事を謳っております。まずは現状を把握します。 現状というのは何かというと、先程もお話しましたように会社の中に一体どれだけの情報がある のかって事を、棚卸しをしましょうと。それがどういうふうに管理をされているのかという事を きちっと調査しましょうと。実体をまず把握するって事が、第一です。当社の目標っていうのは、 どういうふうに設定しますか。どこまでのレベルの対策を施しますかって事を、経営者の方、ち ゃんと決めて下さいね、っていう事。目標を決めて、その目標に行くような具体的な対策。先程 幾つかピンポイントでお話しましたけれど、こう言ったような物を実際に実行して行くという事 ですね。そして出来上がったらば、それを社員の方が使って行くという事。先程実行と言いまし たけれども、これは何もシステム的な実行だけではなくて、色んなルールを作るという事も実行 というふうに含めて言います。ルールを作りシステムを再構築するなり、変更するなりして、そ
