6 セキュリティ対策 個人データが漏えいしないための対策はされているのですか。
こーほうのように、個人情報の漏えいが発生したという報道を目にすることがあります。
生活者の方からも「個人情報が盗まれる報道をたびたび目にする。流出防止もイタチごっこで、いつ洩れるか分からないのではないか」といった疑問の声が挙がっています。
ここでは、セキュリティ対策について、企業の考えや取り組み、情報漏えい時の対応、個人データを自分で守る仕組みに関する情報やサイトを紹介していきます。
もくじ
企業は個人情報の漏えいについてどう考えているのですか。
経団連は、「データによる価値協創宣言」において、「個人データの漏えいが生じないよう、平時から十分な準備と対策に努める」とするとともに、2022年10月に、「経団連サイバーセキュリティ経営宣言2.0」を策定し、「実効あるサイバーセキュリティ対策を講じることは、いまや全ての企業にとって、経営のトッププライオリティと言っても過言ではない」と述べています。
宣言においては、経済界が、①経営課題としての認識②経営方針の策定と意思表明③社内外体制の構築・対策の実施④対策を講じた製品・システムやサービスの社会への普及⑤安心・安全なエコシステムの構築への貢献の実践に努めることが述べられています。
また、2019年10月には、米国の非営利組織「インターネット・セキュリティ・アライアンス」と経団連が協力して、企業の取締役がサイバーリスクをどう認識し、対処していくかを考え、行動に移していくかについて記した、「サイバーリスクハンドブック 取締役向けハンドブック 日本版」を作成しています。
文中のリンクまとめ
更新 企業のセキュリティ対策は信頼がおけるのですか。
個人情報保護法においては、個人情報に関する企業の取り組みについて「個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています」、また、「個人データの適正な取扱いの確保について組織として取り組むために、基本方針や個人データの取扱規程を策定することが重要です」としており、講ずるべき具体的な措置として、「組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握」があるとしています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.9.10)
加えて、2022年4月の個人情報保護法改正により、「安全管理措置が講じられていることを本人が把握して、開示等の請求を行うことができるように、安全管理のために講じた措置を公表等することが必要」とされるとともに、「安全管理に支障を及ぼすおそれがあるものを除き、ホームページ等で本人が知り得る状態に置くことが必要」としています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.10)
三井住友海上「個人情報保護宣言(プライバシーポリシー)11.個人データの安全管理措置の概要」では、「個人データの取扱状況を確認できる手段の整備」「従業員への安全管理措置の周知徹底、教育及び訓練」「個人データの削除及び機器、電子媒体等の廃棄」「個人データへのアクセス権限の管理」など、具体的な安全管理措置を公表しています。
NTT「お客様個人情報の保護に関する方針 3.安全管理措置について」では、安全管理のために講じている措置をホームページ上で公表するとともに、「お客様個人情報の安全管理のために講じた措置の詳細については、弊社のお客様個人情報等に関するご相談窓口までお問い合わせいただければ、セキュリティの問題等がある場合を除き個別に通知等します」としています。
LINEヤフープライバシーセンターでは、第三者の視点を入れる観点から、「プライバシーに関するアドバイザリーボード」において、「LINEヤフーのプライバシーに関する取り組みがお客様や社会から見て適切かどうかを第三者の視点で確認いただくため、様々な分野の有識者からなるアドバイザリーボードを設置しています」とし、「アドバイザリーボード」委員や開催実績を確認することもできるようになっています。
組織の情報を保護する手段である「情報セキュリティマネジメントシステム(ISMS)」について、国際規格(ISO/IEC 27001)が存在していますが、企業などがこの国際規格に基づいて適切に「情報セキュリティマネジメントシステム」を運用しているかを公平な立場から審査し、証明する「ISMS認証」という仕組みも設けられています。(「ISMS適合性評価制度」)ISMS適合性評価制度は、情報マネジメントシステム認定センターが管理しています。
国際規格に適合していると認められた企業などは、審査した審査機関のマークとともに、下記のような認定シンボルの使用が認められます。
企業などが、ISMS認証を得ているかどうかは、「ISMS認証取得組織検索」から調べることができます。
認定シンボル
出典:情報マネジメントシステム認定センター「ISMS適合性評価制度」
文中のリンクまとめ
個人情報の漏えいに関する法制度を紹介しているWEBサイト
個人情報保護委員会
企業のセキュリティ対策の第三者からのチェックに関するWEBサイト
三井住友海上
NTT
LINEヤフープライバシーセンター
情報マネジメントシステム認定センター
更新 個人データが漏えいした場合、どのように対応してくれるのですか。
個人情報保護法では、「個人データの漏えい等の事案が発覚した場合に講ずるべき措置としては、①事業者内部における報告及び被害の拡大防止②事実関係の調査及び原因の究明③影響範囲の特定④再発防止策の検討及び実施⑤個人情報保護委員会への報告及び本人への通知」が、ガイドラインにおいてあげられています。(「民間事業者向け個人情報保護法ハンドブック」PDF/P.12)
あわせて、2022年4月の個人情報保護法改正により、「以下の漏えい等の事態が発生した場合、又は、発生したおそれがある事態が生じた場合は、個人の権利利益を害するおそれが大きいとして、個人情報保護委員会への報告・本人通知が義務化」されました。(「中小企業向けはじめての個人情報保護法~シンプルレッスン~」PDF/P.4)
<漏えい等報告の義務化の対象事案>
- 類型
- 報告を要する事例
- 要配慮個人情報の漏えい等
- 従業員の健康診断等の結果を含む個人データが漏えいした場合
- 財産的被害のおそれがある漏えい等
- 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
- 不正の目的によるおそれがある漏えい等
- 不正アクセスにより個人データが漏えいした場合
- 本人の数が1,000件を超える漏えい等
- システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合
(出所)「漏えい等の対応とお役立ち資料」(個人情報保護委員会)より経済広報センター作成
また、情報銀行の認定基準である「情報信託機能の認定に係る指針ver3.0」では、損害が発生した場合の情報銀行の責任の範囲として、「消費者契約法など法令を遵守した適切な対応をすること」「情報銀行は、利用者個人との間で苦情相談窓口を設置し、一義的な説明責任を負う」「提供先第三者に帰責事由があり利用者個人に損害が発生した場合は、情報銀行が当該個人に対し損害賠償責任を負う」をあげています。(「情報信託機能の認定に係る指針ver3.0」PDF/P.27)
文中のリンクまとめ
個人情報の漏えいに関連しているWEBサイト
個人情報保護委員会
情報信託機能の認定スキームの在り方に関する検討会
更新 個人が自分で個人データを守るにはどうしたら良いですか。
個人情報保護法では、一定の場合に、本人から、保有個人データの利用の停止、消去または第三者の提供の停止の請求をする権利が認められています。
保有個人データの利用の停止等が認められる場合として、「個人情報保護法に反した個人情報の取扱いをしていた場合」、「利用する必要がなくなった場合」、「個人情報保護委員会への報告義務がある、重大な漏えい等が発生した場合」「本人の権利又は正当な利益が害されるおそれがある場合」があげられています。
個人データを利用する必要がなくなった場合の例としては、「ダイレクトメールを送付するために保有していた情報について、本人からの求めを受けてダイレクトメールの送付を停止した後、本人が消去を請求した場合」があげられています。(「中小企業向けはじめての個人情報保護法~シンプルレッスン~」PDF/P.10)
JIPDECの「プライバシーマークについて」「2-4.プライバシーマーク付与事業者が実践する10の取り組み」では、「プライバシーマーク付与事業者は、『個人情報』の『利用停止』や『第三者への提供禁止』については、本人より請求があった場合は原則として応じます」としています。
エーザイの「プライバシーポリシー」では、「ご本人から保有個人データの利用停止・消去・第三者提供の停止の要望があったときは、所定の手続でご本人であることを確認のうえで、遅滞なく対応します。」とするとともに、場合により、停止の要望に応じられないことがあるとしています。
文中のリンクまとめ
個人情報の利用停止に関連しているWEBサイト
個人情報保護委員会
JIPDEC
エーザイ
このように、個人情報の漏えいについては、様々な対策が行われています。一方で、個人情報の漏えいがなくなっていないのも事実です。企業ではどのようなセキュリティ対策が行われているのか、万が一漏えいが起こった場合対応はどのようなものか、などに関する発信が求められるとともに、個人が自分の個人データを守ろうとする意識も大切です。