個人情報保護法に企業はどう対応するか――東芝ソリューションの手法

2005年を迎え、4月1日にはいよいよ個人情報保護法が施行される。セキュリティコンサルテーションをはじめ、企業が同法に適切に対応するための考え方を東芝ソリューションに聞いた。

» 2005年01月20日 13時00分 公開
[怒賀新也,ITmedia]

 2005年を迎え、4月1日にはいよいよ個人情報保護法が施行される。2004年は、さまざまな企業が情報漏えい事件を起こしたことが取り沙汰されたが、同法により、どの企業もこうした事態を他人事で済ませることはできなくなった。個人情報の定義は、住所、名前などを掲載した名簿や分類されたアンケートの回収用紙、整理された名刺ホルダー、本人が識別できる映像も含まれる。名刺や電子メールアドレスの管理には、これまで以上に、より気を使わなくてはならない。

 情報漏えいと一言で言うものの、実際に起こる形はさまざまだ。記憶メディアの不正持ち出しや、通信傍受によるもの、離席時の表示データの盗み見、印刷物の不正持ち出し、なりすまし、セキュリティホールを悪用したもの、PCなどの機器持ち出し、また、人が自らの記憶によって情報を流出させることもまさに情報漏えいだ。

 個人情報保護法に違反した場合の罰則は、6カ月以下の懲役または30万円以下の罰金となっており、特に重い印象はない。だが、実際に違反すれば、ブランドのイメージ低下や株価の下落など、企業活動へのさまざまな悪影響が考えられる。

 企業生命を揺るがしかねないこの新しい法律にどう対処するべきか。法自体は方針を定めて方向性を示すに留まっており、これに沿って、業種や業界ごとに公的基準が策定されるのが一般的だ。そして、各企業はこれを基に社内基準を策定しなくてはならない。

 具体的な対応策も含めて、個人情報保護法への企業の対応をサポートする東芝ソリューションに話を聞いた。ここでは、セキュリティコンサルテーションをはじめ、企業が同法に適切に対応するための考え方を中心に紹介したい。

 企業の情報漏えい対策への考え方について、東芝ソリューションのプラットフォームソリューション事業部でセキュリティソリューションチームにて参事を務める北折昌司氏は、「最終的な目的や想定されるリスク、対策の種類、さらに予算などを考慮する必要がある」と話す。たとえば、対策の種類にも、組織や個人、物理的対応、技術的なアプローチなどさまざまある。また、抑止、予防、検出、回復など、対策の位置づけにもさまざまな性格があるため、セキュリティ対策を全く行っていない企業の多くが、「何から手をつけていいか分からない」のが本音という。

「個人情報保護法への対応にはトップマネージメントが必要です。」と北折氏 

ベストプラクティスとしてのISMS

 東芝ソリューションは1つのアプローチとして、ベストプラクティスに学ぶことを提案している。具体的に展開しているのが、ISO17799に準拠した認証制度である情報セキュリティマネジメントシステム(ISMS)の認証取得を含む、「セキュリティコンサルテーション」だ。ISMSの取得を目指すことにより、自然に個人情報保護法への対策ができるというわけだ。一般に、取得まで7カ月から14カ月ほどを要し、3年ごとに更新が求められる。

 ISMSは、情報セキュリティ管理について、企業や組織のマネジメントシステムを確立し、不測の損失に対応するリスクマネジメントや継続的な改善の仕組みを構築するための国際基準だ。具体的な127件の対策方法を例示し、計画(Plan)、実施(Do)、チェック(Check)、処置(Action)といういわゆるPDCAサイクルにより、企業はセキュリティを向上させるための正のスパイラルを組織に導入することができる。

コンサルティング対象の各フェーズ

 具体的に、まず計画フェーズにおいては、ISMSを取得するに当たっての体制の確立とスケジュールの策定を支援し、ISMSの適用範囲や基本方針を文書として策定する。さらに、情報資産の洗い出しや重要度の分類、潜在的な脅威や脆弱性の把握など、リスク査定によって管理策を検討する。そして、適用宣言書や各種手続書を作成すれば、計画フェーズが完了する。

 次は実施フェーズだ。計画フェーズで立案した対策や、教育および訓練、記録の収集などを実施する。さらに、3番目のチェックフェーズでは、取り組みへの内部監査を行う。最後に、マネジメントレビューやサーベイランス審査を実施することで、ISMSの維持、改善を図る。東芝ソリューションは、こうしたプロセスを部分的にではなく、トータルに支援できることが強みだ。

成功の秘訣は?

 同社は、ISMS導入を成功させるための要件として3つの柱を掲げる。ひとつは、明確な目的意識を持つこと。たとえば、北折氏は、「ISMSを取得することによってブランドイメージが向上すると仮定するなら、これをブランド戦略の一環と位置づければいい」と話す。

 また、ISMS取得をするためには、人やカネといった経営資源を継続的に費やす必要がある。場合によっては、事業戦略を一部変更しなくてはならないかもしれない。そのため、ISMSへの取り組みを経営者が自ら表明することも重要だ。さらに、取り組みが全社的なものなのか、あるいは部門レベルで留まるかなど、ISMSへの取り組みの位置づけを明確にし、将来的なビジョンを持つ必要があるとしている。

 次回は、IT資産管理システムソリューションや、IDおよび認証管理システムソリューション、ネットワークセキュリティソリューションなど、個人情報保護法への対応を含めて、同社が提供する具体的なソリューションを紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ