解答と解説
U.個人情報保護の対策
NO.解答解説
問題41 リスクマネジメントシステムの構築において、重要な鍵を握るのが、リスク分析および評価である。リスク分析の初期段階では、保有する情報資産を調査し、重要性の分類を行い、要求されるセキュリティの水準を定める。適切なリスク管理をするためには、リスクの大きさがセキュリティ要求水準を下回るように対策基準を策定する必要がある。同等に設定していては、万が一リスクが生じたときには回避することが困難である。
問題42 情報資産に変更があったときや情報資産に対するリスクに変化が生じたときには、関係する情報資産についてリスク分析を再度行い、必要に応じてポリシーの見直しを行うべきである。定期的なポリシーの評価および見直しは、すべてリスクマネジメント方針の策定から再検討する必要はなく、効率を考慮してリスクごとに検討すればよい。ただし、リスク分析を行った際に情報資産のぜい弱性が発見された際、早急に対応する必要がある場合は、緊急にリスクマネジメント委員会を開き、再検討しなければならない。リスク分析を行った結果の資料は、情報資産のぜい弱性の分析が記されているため、ポリシー策定の基礎資料となり得る。
問題57 委託は、本来自己の業務である個人データの取扱いを他者に依頼することなので、委託元は、委託先の監督責任を負う。オフィスの清掃の請負会社との契約において、清掃員がコンピュータや書類に触ることはないとしても、書類の廃棄を依頼されることによって個人情報に触れたり、机上の書類を目にしたりする可能性があるので、個人データの非開示契約の締結をする必要がある。郵便局や宅配業者は、通常は送付物の中に個人情報が含まれているかどうかを認識することなく個人情報を取り扱うので、事業の用に供しているとは認められず、原則として義務規定が適用されない。
問題58 委託は、本来自己の業務である個人データの取扱いを他者に依頼することなので、委託元は、委託先の監督責任を負う。したがって、委託先が他社に再委託する場合、委託元はそれを拒否することができる。個人情報の取扱いを外部に委託する際には、個人情報の流出防止をはじめとする個人情報保護のための措置が委託先において確保されるよう、委託契約の中において、本来自己の業務である委託元の責任を明確に定めることが重要である。
問題73 情報システム部が管理しているパソコン以外の利用は、個人が所有しているパソコンを含め、原則として禁止することが望ましい。ハードディスクから個人情報が削除されている場合でも、パソコンを外部に持ち出すことによって、ウィルスなどを持ち帰ることがあるので、原則として持ち出しを禁止することが望ましい。
問題74 個人情報は、特定の保管場所に施錠して管理することが望ましい。しかし、鍵の場所が誰でもわかるように目立つところに設置することによって、必要のない者が個人情報にアクセスするおそれがあるので、特定の管理者によって鍵管理をすることが望ましい。
問題86 モニタリング実施にあたっては、あらかじめ社内規定案を策定し、事前に従業員に周知したうえで、実施する責任者とその権限を明確にし、あらかじめ利用目的を特定することが望ましい。モニタリングの実施状況については、不正アクセスなどの監査または確認を行い、取得した内容やアクセスログは個人情報になり得るので、公表することは望ましいものではない。
問題87 アクセス制限において、パスワードにおいては、厳格に個人管理するものであるが、IDはネットワークにアクセスするものとして、管理者はじめ第三者に公表しているものである。パスワードは複雑になりすぎると利用者の負担が大きくなるが、利用者が覚えやすい意味のある単語を採用すると、そこから第三者に漏れる可能性が出てくる。IDが複雑なものであっても、パスワードはIDと同じものを採用するべきではない。
【参考文献】
・「個人情報保護とリスクマネジメント」(東京海上日動リスクコンサルティング梶Aソフトリサーチセンター)
・「個人情報保護の実務と漏洩防止策のすべて」(鈴木靖・當摩裕子等 日本実業出版)
・「標準情報セキュリティ 総論・脅威・対策」(財団法人全日本情報学習振興会 情報セキュリティ検定委員会 株式会社情報学習新聞社)
・「図解でわかる情報セキュリティ検定3級」」(潟gーマツ環境品質研究所 安達裕哉・宮本豊・平山直紀 株式会社角川学芸出版)
・「図解でわかる情報セキュリティ検定1級・2級」」(潟gーマツ環境品質研究所 安達裕哉・宮本豊・平山直紀 株式会社角川学芸出版)
・「情報セキュリティアドミニストレータ標準教本」(岸本 了造 日本経済新聞社)
・「社長! 個人情報、その取扱いはキケンです。」(谷原誠・横張清威 あさ出版)
・「個人情報保護の正しい実務と絶対必要な対策」(黒川 晃 中経出版)