第3回 事故発生時の対応のポイント個人情報が流出 有事のときの危機管理(1/3 ページ)

万一の情報漏えい時に備えた危機管理対策を解説するシリーズ第3回。今回は、経済産業省における経済分野ガイドラインの項目を意識しながら、事故発生時の対応のポイントについて解説する。

» 2005年03月10日 08時00分 公開
[丸山満彦ITmedia]

個人情報の漏えい対応の特徴

 個人情報の漏えいは、一般の情報セキュリティ事件や事故の組み合わせの結果といえる。例えばウイルス感染というセキュリティ事故が原因で、個人情報の漏えいにつながったり、ノートPCの無許可の持ち出しが漏えいにつながったりする。

 また、個人情報の漏えいは、社内の情報セキュリティ事故検出の結果として判明するのではなく、外部からの連絡によりその事実に気づく場合が多い。従って、通常のセキュリティ事件や事故対応の応用問題的要素があることに留意しなければならない。

事故発生時の対応の流れ

 個人情報の漏えいまたは漏えいの疑いがある場合は、あらかじめ定められた手順に従って素早く対応することが肝要である。

 経済産業省の経済分野ガイドラインでは、個人情報が漏えいした場合に実施することが望まれる事項を次のように記載している。今回は、経済分野ガイドラインの項目を意識しながら、具体的なポイントを指摘したい。

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

(5)事故又は違反への対処をする上で望まれる事項

事実関係、再発防止策等の公表、その他、以下の項目等の実施

ア)事実調査、

イ)影響範囲の特定、

ウ)影響を受ける可能性のある本人及び主務大臣等への報告、

エ)原因の究明、

オ)再発防止策の検討・実施

出展:個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン/経済産業省


図1 図1■個人情報漏えいの際の対応事項

準備

 事件や事故対応には、準備が重要である。前回は体制整備について説明したが、体制整備以外にも、個人情報漏えいの対応には情報システムに関する準備も必要である。

 個人情報が漏えいした場合に行わなければならない作業を想定すると、次のような準備が必要となる。ここでは、主に緊急対策チーム(連絡を受けて動く組織)に必要と思えるものを例示したので参考にしていただきたい。

表1●緊急対策チームに必要な準備
連絡手続・手段・設備
緊急連絡先一覧表(紙またはデータ)。以下の内容が含まれていることが望ましい
・メンバー氏名
・メールアドレス
・FAX
・住所
・運用委託先窓口の連絡先
・利用しているデータセンター窓口の連絡先
・行政機関の窓口(個人情報保護担当部署)の連絡先(携帯電話、固定電話)
また、連絡経路は複数用意しておくことが望ましい
分析のためのハード・ソフト分析用専用のPC、予備のPCサーバ、プリンタ(持ち運びできるもの)、未使用媒体(CD-RWなど)、OSや分析ソフト入りの媒体(FD、CD-Rなど)、コンピュータフォレンジック専用ツール(ハード、ソフト)など

 組織によって資金力、マンパワーの余力が異なるため、どこまで行うかは悩ましいところであるが、前回説明した机上訓練、実地訓練などを通じて必要と思われるものを準備しておくとよい。中小企業であれば、専用ツールなどは必ずしも必要でないこともある。身の丈から考えて行き過ぎた対策は弊害となる。ただし、どこまで対策を行うかについて説明責任を果たすことは重要事項となるので、不必要とした理由を明確にしておくとよいだろう。

事実調査(事件の検出・分析)

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ