最終回 本人・行政・社会への対応のポイント個人情報が流出 有事のときの危機管理(3/3 ページ)

» 2005年03月17日 08時00分 公開
[丸山満彦,ITmedia]
前のページへ 1|2|3       

 情報漏えいが発生したことを公表しなければならない理由は、政府の基本方針でも述べられている通り、「二次被害の防止、類似事案の発生回避等」のためである。被害の可能性がある本人に直接通知できなかった場合に、漏えいした事実を伝えることも必要となる。

 公表すべき内容は、本人への通知などとほぼ同様の項目となる。なお、前回も指摘した通り、社会的な影響がほとんどない場合は、その事実を公表する必要はない。些細な個人情報の漏えいをいちいち公表することにより、かえって重要な情報が埋もれてしまうからだ。

訴訟への備え

 情報漏えい事件では、企業は本人との関係でいうと訴えられる側に立ち、漏えいした人との関係でいうと訴える側に立つ。また、漏えいした者が窃盗、不正アクセスなどを犯している可能性がある場合は、捜査当局に証拠を提出することもありえる。民事であれ刑事であれ裁判に対応するためには、自らの主張を証明するための証拠を残しておく必要がある。

 証拠がデジタルデータである場合は、データ変更の容易性、変更の痕跡が残りにくいなど物質ベースの証拠と異なる問題がある。必要なデジタルデータの証拠力を高めるために、データの真正性、完全性を確保し、適切に証拠を保全する必要がある。漏えいなどが特定の人により行われたことを立証するために、アクセスログなどをコピーしたり、場合によってはディスク全体を複写し、ハッシュ値を取るなどしてデータの変更が行われても分かる状態にした上で、変更を行われない状態にして保管するといった対策を取ることになる。

 このような作業のための専門のツールが販売され、捜査機関ではすでに利用されているようである。また、民間企業に対して、専門のツールを利用したサービスを提供する企業もあるようだ。

図2 図2■漏えい時の利害関係者への対応例

終わりに

 本シリーズでは、これまで次のようなポイントを説明してきた。

  1. 個人情報が漏えいする可能性があることを前提とし、危機管理体制を整備することが重要であること
  2. 危機管理体制の整備のポイントは、(1) 危機管理組織の整備、(2) マニュアルの整備、(3) マニュアルに従った訓練の実施であること
  3. 事故対応のステップとその際の留意事項
  4. 事故についての主務大臣への報告、本人への通知、社会への公表を行う際のポイント

 個人情報漏えいが起こらないように普段から適切な内部体制や内部統制を整備し、運用していくことが重要であるのは否定しない。しかし、完全に事故を防ぐことはできない。したがって、個人情報の漏えいが起こることを前提とした危機管理体制の整備が重要となってくるのである。

丸山満彦(監査法人トーマツ)

公認会計士 シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務する。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ