モノのインターネットとプライバシー保護--考え方と実装 - (page 3)

河野省二(ディアイティ)

2014-07-22 07:30

個人情報とは何か

 個人情報保護法では「個人情報とは、生存する個人の情報であって、特定の個人を識別できる情報(氏名、生年月日など)を指す。これには、他の情報と容易に照合することができることによって特定の個人を識別することができる情報(学生名簿などと照合することで個人を特定できるような学籍番号など)も含まれる」とされています。

 しかし、これは個人情報を判別するには大雑把すぎます。情報セキュリティでは「誰もが同じ判断ができること」を原則として管理策を設定します。個人のスキルに依存するようなセキュリティ対策は安定した安全確保を提供できないからです。対策にはもう少し具体性を伴う内容が必要です。

 一般企業では個人情報保護方針とかプライバシーポリシーを提示しています。実はこの中に、その企業が考える個人情報とは何かが記載されています。個人情報保護法やプライバシーマーク(JIS Q 15001)では個人情報の具体的な項目を定めることまで求めていないので、記載していない企業もありますが、これはよい方策とはいえません。個人情報の提供者と企業とで解釈の違いが生まれてしまう可能性があるからです。

 くり返しになりますが、「誰もが同じ判断ができること」の原則がない限り、情報セキュリティ対策はできませんし、システムに落とすことができません。まずはそこから始める必要があります。

 もちろん状況によって取り扱う個人情報の明細が変わる可能性や、事業体が大きいために、ビジネスが多岐にわたる場合にも個人の特定ができないということがあるかもしれません。

 しかし、安全管理や管理体制を運用するには、個人を特定する必要があります。個人情報を提供する側はこの辺りを見ていくことで、その企業が個人情報保護の仕組みを構築しているか、それとも人間の意識だけでやろうとしているかを見ぬくことができます。人間の意識だけではミスが生じがちです。できる限り人間のミスが影響しないような仕組みが構築されているかを確認したほうが良いでしょう。

個人情報の安全を管理するために「個人情報」という分類をやめる

 個人情報は情報の1つです。つまり、企業の情報管理の1つとして個人情報管理があるわけです。もっと厳密に言えば、「個人情報」というラベルを付けて管理をしているということになります。

 このラベルは誰にもわかりやすいと思われがちですが、実態を伴わず、あまり有効ではないのです。

 例えば「社外秘」というラベルがあれば、すべての社員は「社外に持ちだしてはならない。社外の者に閲覧させてはならない」といえるでしょう。しかし「個人情報」というラベルを見ても具体的にどのように行動したら良いのかが推測できません。個人情報は重要だから大事にしなさいと言っても、その方法がわからないのです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]