携帯電話に含まれる、名前や電話番号、メールアドレスといった各種の情報。どんな情報が「個人情報保護法」の対象となるデータなのだろうか?
KDDIは7月8日、「KDDIモバイルセキュリティセミナー」を開催した。セミナーを主催しているモバイルソリューション国内営業本部は、法人・企業向けにau携帯やBREWアプリケーション、両者を利用したシステムを販売している部署である。
セミナーの前半では、経済産業省の斉藤雄一氏が個人情報保護法の概要や携帯電話にまつわる個人情報管理について話した。
携帯電話を業務利用しよう、という話ではしばしば「情報漏えいの危険」「どのように個人情報を守るか」といったことが話題になるが、そもそも携帯電話に含まれるデータは、「個人情報」に含まれるのだろうか。
データの種類 | ○/× | 備考 |
---|---|---|
氏名 | ○ | 氏だけ、名だけ、との場合はグレーゾーン。名字だけでも該当する可能性はある |
会社名(部署名) | × | 会社名、部署名だけなら一般的には個人情報にならない |
電話番号 | × | 番号だけなら個人情報にならない |
メールアドレス | △ | keizai_ichiro@meti.go.jpなどのメールアドレスは○だが、タダの記号の組み合わせなら× |
ニックネーム・イニシャル | × | ただし、そのニックネームを聞いただけで特定の個人が想像できるような場合は○ |
写真・動画 | △ | 本人が判別できる状態であれば個人情報になる |
ボイスレコーダー | △ | 話している内容が特定の個人を判定できるケースであれば○。声紋は、一般には調べられないので、声だけでは判定できないとしていい |
ただし、これは個々のデータが単体の場合だ。単体で個人情報にならない場合でも、複数のデータを容易に照合できるような場合は、個人情報になってしまう。携帯電話のアドレス帳は、目次がついて整理されている状態といえるので、個人情報データベースに該当する。一般に、携帯電話は個人情報を多く持つ可能性が高いといえるのだ。
ある意味、個人情報の固まりともいえる携帯電話だが、持ち歩くものであるだけに、非常に紛失の危険が高いのも事実だ。
携帯電話にまつわる、情報漏えい事故の例として多いのが「携帯電話(会社貸与)の携帯電話を業務外で紛失」「携帯電話(会社貸与)を業務中に置き引きされる、車上荒らしに合う」「誤って廃棄してしまった」というケースだという。
企業が行うべき取り組みとしては「組織的」「物理的」「人的」「技術的」な安全管理措置がそれぞれ必要だ、と斉藤氏は話す。
「組織的安全管理措置」とは、落としても大事にならないように、必要最低限の情報しか入れないようにする、業務用情報を個人用の携帯電話に登録しない、氏名の登録をしない、不要な情報、古い情報を削除する、などの対策を指す。
「物理的安全管理措置」は、落下や置き忘れを防止するため、ネックストラップやクリップなどで体へ固定すること。「人的安全管理措置」は、研修や朝礼などで取り扱い規定を周知、徹底したり、漏洩事故を従業員に周知、注意喚起するなどの措置だ。
「技術的安全管理措置」は、例えば暗証番号によるダイヤルロックなど、携帯電話に備わっているセキュリティ機能を利用して対策を行ったり、データをサーバで共有管理したり、という取り組みである。
Copyright © ITmedia, Inc. All Rights Reserved.