万一の情報漏えい時に備えた危機管理対策を解説するシリーズ第3回。今回は、経済産業省における経済分野ガイドラインの項目を意識しながら、事故発生時の対応のポイントについて解説する。
個人情報の漏えいは、一般の情報セキュリティ事件や事故の組み合わせの結果といえる。例えばウイルス感染というセキュリティ事故が原因で、個人情報の漏えいにつながったり、ノートPCの無許可の持ち出しが漏えいにつながったりする。
また、個人情報の漏えいは、社内の情報セキュリティ事故検出の結果として判明するのではなく、外部からの連絡によりその事実に気づく場合が多い。従って、通常のセキュリティ事件や事故対応の応用問題的要素があることに留意しなければならない。
個人情報の漏えいまたは漏えいの疑いがある場合は、あらかじめ定められた手順に従って素早く対応することが肝要である。
経済産業省の経済分野ガイドラインでは、個人情報が漏えいした場合に実施することが望まれる事項を次のように記載している。今回は、経済分野ガイドラインの項目を意識しながら、具体的なポイントを指摘したい。
|
事件や事故対応には、準備が重要である。前回は体制整備について説明したが、体制整備以外にも、個人情報漏えいの対応には情報システムに関する準備も必要である。
個人情報が漏えいした場合に行わなければならない作業を想定すると、次のような準備が必要となる。ここでは、主に緊急対策チーム(連絡を受けて動く組織)に必要と思えるものを例示したので参考にしていただきたい。
|
組織によって資金力、マンパワーの余力が異なるため、どこまで行うかは悩ましいところであるが、前回説明した机上訓練、実地訓練などを通じて必要と思われるものを準備しておくとよい。中小企業であれば、専用ツールなどは必ずしも必要でないこともある。身の丈から考えて行き過ぎた対策は弊害となる。ただし、どこまで対策を行うかについて説明責任を果たすことは重要事項となるので、不必要とした理由を明確にしておくとよいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.