情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格 > 13.3 個人情報保護

1.個人情報保護法とは
平成17年4月に始まった個人情報に関して、理解しましょう。個人情報保護法について、「組織における内部不正防止ガイドライン(http://www.ipa.go.jp/files/000044615.pdf)」の解説を引用します。
(1) 個人個人情報の保護に関する法律(個人情報保護法)
 個人情報の漏えいや不正利用等から、個人の権利利益を保護するために、個人情報を取り扱う事業者の順守すべき義務(安全管理措置や従業員と委託先の監督義務等)を規定しています。この義務規定に事業者が違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が事業者に対し勧告、命令等の措置をとることができます。命令に従わなかった場合には、罰則の対象になります。
ここにありますよに、この法律は、「個人情報を取り扱う事業者の順守すべき義務を規定」しています。対象は「事業者」ですから、個人は対象になりません。
友達の連絡先を教えてからといって、少なくとも、個人情報保護法で罰せられることはありません。

2.法の目的
消費者庁のサイト(http://www.caa.go.jp/planning/kojin/)では、個人情報保護法に関して、「個人の権利利益を保護することを目的として、民間事業者の皆様が、個人情報を取り扱う上でのルールを定めています」と述べています。

ここにあるように、このように、「民間事業者」を対象とした法律であることが一つのポイントです。

3.個人情報保護法の対象
個人情報保護法義務の対象は、個人ではなく「個人情報取扱事業者」です。すべての企業ではなく、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は除外されます。 

4.「個人情報」の定義を確認しましょう。
個人情報保護法では、個人情報を以下のように定義しています。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
ポイントは、「特定の個人を識別することができる」ことです。
情報セキュリティスペシャリスト試験_SE成子 


では、氏名だけでも個人情報?
法律の定義がかなりあいまいではありますが、氏名だけでも個人情報とされます。同姓同名が多いような名前であれば、個人を特定できるかはわかりません。ただ、剣持成子という名であれば、それほど多くはいないでしょうから、個人を特定できることもあるでしょう。つまり、特定できるのであれば個人情報です。
kojin
さて、上記の監視カメラで撮影した情報,会社名や所在地などの法人に関する情報はどうなのでしょうか。以下を確認ください。

5.個人情報に関するQ&A
消費者庁の以下のサイトがよくまとまっています。この中からいくつか抜粋します。
http://www.caa.go.jp/planning/kojin/pdf/gimon-kaitou.pdf

Q1.メールアドレスは、「個人情報」に該当しますか。

A1.ユーザー名及びドメイン名から特定の個人を識別することができる場合、個人情報に該当します。一方、記号や文字がランダムに並べられているものなどは、個人情報には該当しません。

Q2.死者の情報は、個人情報保護法の保護の対象になりますか。

A2.生存する個人に限定されているので、対象外です。

Q3.カメラで撮影した映像は、「個人情報」に該当しますか。

A3.それによって特定の個人が識別できる場合には、「個人情報」に該当します

Q4.法人に関する情報は、「個人情報」に該当しますか。

A4.会社名や所在地は「個人情報」ではありません。しかし、法人情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」になります。

6.安全管理措置
過去問(H27秋IP問24)では、以下の記述があります。
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じるとを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(http://www.meti.go.jp/press/2014/12/20141212002/20141212002.pdf)から引用すると、その具体的な内容は以下です。
①組織的安全管理措置
組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいう。

②人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

③物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。

④技術的安全管理措置
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。

過去問(H20秋SW)を解いてみましょう。
問77 経済産業省“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン"の物理的安全管理措置に該当するものはどれか。
ア 個人データの安全管理に関わる従業者の役割及び責任についての教育・訓練を実施する。
イ 個人データの漏えいなどの事故が発生した場合の,代表者などへの報告連絡体制を整備する。
ウ 個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。
エ 個人データを取り扱う情報システムを,ICカードによる入退室管理を実施している室内に設置する。
アは人的安全管理措置、イは組織的安全管理措置、ウは技術的安全管理措置です。
正解はエです。

1.JIS Q 15001とは
JIS Q 15001は個人情報保護マネジメントシステムの要求事項です。JIS Q 15001が求める要求事項を満たしていれば、個人情報の取り扱いが適切と判断されます。

2.プライバシーマーク制度とは 
プライバシーマーク制度は、「事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度(平成17年SW午前問76)」で、1998年に運用が開始されました。この制度の内容は、OECDによる「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を包括しています。
この制度は、個人情報保護マネジメントシステムの要求事項であるJIS Q 15001に準拠している事業者を認定します。プライバシーマークを使用するためには、この要求事項を満たした上で、JIPDEC(日本情報処理開発協会)が指定する指定機関の審査に合格する必要があります。 

参考です、プライバシーマークは会社で一つの申請になります。この点は、事務所や業務単位で取得するISMSとは異なります。
情報セキュリティスペシャリスト試験を目指す女性SE

具体的に、どんな基準があるのですか?
プライバシーマークを取得する為のガイドラインとして、以下が公開されています。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

この中に記載されているチェック項目が、審査時のチェックリストとして審査員からチェックされます。例えば、P44の安全管理措置では、以下の記載があります。

2.5 個人情報へのアクセス記録
1)個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管している。
2)取得した記録について、漏えい、滅失及びき損から適切に保護している。
(上記URLより引用)

2016年1月から、国民一人ひとりに12ケタの番号が付与されるマイナンバー制度の運用が開始しました。
マイナンバーに関する法律が「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」です。この法律では、「特定個人情報」を「個人番号をその内容に含む個人情報」と定義しています。つまり、マイナンバーを含む個人情報が特定個人情報です。また、個人情報のガイドラインと同じく、特定個人情報の適正な取扱いの指針である「特定個人情報の適正な取扱いに関するガイドライン」が出されています。
情報セキュリティスペシャリスト試験を目指す女性SE 

個人情報保護法とはどういう関係ですか?
特定個人情報も個人情報ですから、個人情報保護法が適用されます。加えて、マイナンバーの漏えいは、普通の個人情報より危険です。例えば「山田太郎」という名前であれば、同姓同名がいるでしょう。しかし、12桁のマイナンバーは世の中に一つか存在しません。確実に個人を特定できるのです。そこで、マイナンバー法ではより厳格なルールが定められています。たとえば、個人情報保護法より重い4年以下の懲役などが規定されています。

個人情報以外に、プライバシーという言葉もあります。両者は共通するところもありますが、厳密には少し違います。例えば、私生活そのものであったり、日記や好きな人だったりという秘密がプライバシーです。
プライバシーを保護するために、その影響を評価するプロセスが「プライバシー影響アセスメント(PIA)」です。そのベースとなるのは、法律やガイドライン(プライバシー・フレームワーク)です。加えて、組織ごとに、プライバシーを守るためにどのような運用をするのかが大事になります。

企業は、個人情報をマーケティングや商品開発に活用するだけでなく、外部の企業に販売することもあります。たとえば、事前説明が不十分として話題になった一件ですが、2013年に、JR東日本がスイカの乗降履歴を、個人情報を匿名化した上で販売しました。
 2016年の改正個人情報保護法では、個人情報を匿名化すれば、本人の同意を得ずに第三者提供ができるようになりました。その際、個人が特定されないように、匿名化する必要があります。匿名化手法として、いくつかのデータを任意に抽出するサンプリングや、k人以上が存在するように(たとえば、住所の番地を消して市区町村までにすれば、複数人が存在する)k-匿名化する方法があります。

15863853
企業はイメージダウンや入札停止、営業停止を恐れるので、かなり過敏ですよね。パスワードをかけて暗号化していても「流出事故」として扱われるわけでしょ。




「漏えい」していなくても「流出」するという事実があれば、そうなるね。紙が漏えいしてもスキャナで読み込めばデータ化されるわけであって、紙でも同じなんだけどね。
ただ、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が経済産業省から出されている。これによると、以下の場合は本人へ連絡は省略してもかまわないと述べられている。
・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合
・漏えい等をした事業者以外では、特定の個人を識別することができない場合
ということは、情報漏えいとして考えなくてもよいかと思う。
まあ、これらの見解は明確ではなく、曖昧なので、慎重な判断が必要であろう。

このページのトップヘ