第1回 情報セキュリティを取り巻く各種制度：対策に最適な制度を活用する（1/4 ページ）

個人情報保護体制を対外的にアピールできる各種制度。しかし、その種類は公的なものから民間のものまで多岐にわたる。果たして自社にとって最適な制度とはどのようなものなのだろうか？　本シリーズでは4回にわたって各種制度を取り上げ、その特徴を紹介していく。

[丸山満彦（監査法人トーマツ），ITmedia]

高まる消費者の個人情報保護意識

　この2、3年、地方自治体、派遣会社、通販会社、旅行会社、コンビニエンスストアー、インターネットプロバイダーなど、個人情報の漏えい事件が数多く報道されてきた。個人情報の漏えいをひとたび起こせば、顧客の信頼喪失、売り上げの減少だけでなく、プライバシー侵害として漏えいされた本人に訴訟を起こされ、損害賠償を求められることもありうる。

　また企業にとっては、2005年4月1日から全面施行される個人情報保護法の対応も重要な経営課題となる。全面施行後は、漏えい事件などを起こした場合、安全管理義務違反として大臣による改善命令などが行われる可能性があるからだ。その命令を無視した場合は、懲役もありえる。このような現状を考えると、個人情報の取り扱い、とりわけ漏えい防止のための情報セキュリティ対策が、企業においては重要である。

求められる企業の情報セキュリティ対策

　一般に情報システムに必要とされる情報セキュリティの要件は次の通りである。

1. 機密性の保護：情報が漏えいしないようにする
2. 完全性の保護：情報やシステムが改ざんまたは勝手に変更されないようにする
3. 可用性の確保：システムが停止しないようにする

　企業は、このような情報セキュリティ対策を整備し、適切に運用することが求められる。特に個人情報保護の観点からは、機密性の確保と完全性の確保が重要となる。

整備される情報セキュリティ関連制度

　経営者にとって重要なことは、自社において適切な情報セキュリティ対策が実施されていることを確認することである。なぜならば、それが経営責任と関係するからである。たとえ経営者が情報セキュリティ対策を実施するよう現場に指示していたとしても、現場がその指示を守らず、個人情報の漏えい事故を起こした場合、経営者はやはり責任を追及されることになる。

　また、自社ばかりでなく、第三者の企業に対してもセキュリティ対策を行っていなかったことを知らずに個人情報の取り扱いを委託し、漏えいした場合、監督責任を問われ委託元の企業も責任を追及される可能性がある。

　したがって、委託先の監督義務も含めて、自らの組織における適切な情報セキュリティ対策の実施状況を、経営者が確認できる管理体制（マネジメントシステム）の導入が重要となる。情報セキュリティ対策が行われていること、または個人情報の取り扱いが適切に行われていることを確認するための制度を、4回にわたって説明していきたい。

制度を概観する