第1回 事故前提のリスクマネジメントの必要性:個人情報が流出 有事のときの危機管理(2/2 ページ)
個人情報保護対策を行うことは必須だが、万が一の事態を想定する必要がある。本シリーズでは、個人情報の流出という有事に対し、企業が備えておくべきこと、事後対応をどうすべきかを紹介する。まずは事故前提のリスクマネジメントがなぜ重要か、知っておこう。
漏えい時の対策を考える際には、リスクマネジメントの考え方を援用することが有益である。リスクマネジメントには、下記の2つの視点で考えることが重要である。
- 漏えいが発生しないように、または発生してもその損害が少なくなるように事前に実施する対策
- 漏えいしてからの対応と、そのための準備対策
前者の対策例としては、「業務上必要最低限の者に必要なアクセス権限を与える」「データベースを分割することにより万が一の事故が起こっても被害を少なくする」という対策などがある。後者の対策が、事故・事件対応と呼ばれるものであり、クライシスマネジメントとも呼ばれている。
クライシスマネジメントを考える時のポイントは、事故が起こった場合の損害が大きいリスクに対しては、発生の可能性の大小にかかわらず事前の準備と事故後の対応を定めておくことである。このポイントの詳細については、次回、詳しく説明することとして、まずは個人情報保護法の各省庁ガイドラインについて見ていくことにする。
法及および各府省庁ガイドラインの施行に伴うポイント
個人情報保護法が施行される2005年4月1日以降は、個人情報の漏えいなどの事故事案について、別途対策が必要となることを忘れてはならない。それは、主務大臣への報告など、事故発生時の対応が明確に必要となることである。確かに、個人情報保護法では、漏えいなどの事故が起こった場合、明確な対応の規定はない。しかし、「個人情報の保護に関する基本方針」(2004年4月2日閣議決定)では、次のような記載がある。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
※1.「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月22日厚生労働省経済産業省告示第4号)/経済産業省
※2.「電気通信事業における個人情報保護に関するガイドライン」(2004年8月31日総務省告示第695号)/総務省
※3.「金融分野における個人情報の保護に関するガイドライン」(2004年12月6日金融庁告示第67号)/金融庁
※4.「経済産業分野のうち信用分野における個人情報保護ガイドライン」(2004年12月17日経済産業省告示第436号)/経済産業省
※5.「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(2004年7月1日厚生労働省告示第259号)/厚生労働省
事故が起こると今までは任意で事故内容を本人に通知し、また公表、行政機関に報告していたことが、このようなガイドラインに従った対応をしなければならなくなる。各企業において、それぞれに業務における所管省庁が定まっているため、自らの所管省庁のガイドラインを熟読し、対応を行わなければならない。
各省庁のガイドラインの策定状況については、内閣府のWebページ(個人情報保護に係わる関係省庁の検討状況)に掲載されているので、確認していただきたい。
ポイントは、報告する先が主務大臣、本人、社会と3つある点であり、それぞれの期待するものが異なるということである。つまり、この3つの利害関係者という報告先を意識した漏えい事件対応の枠組みを考える必要があるのだ。
次回は、漏えいに備えた社内体制の整備について詳しく考えていく。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
丸山満彦(監査法人トーマツ)
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.