個人情報保護法とは?個人情報保護法とは、個人情報を取り扱う事業者や行政機関の遵守すべき義務等を定める法律をいいます。具体的には、個人情報の収集、利用、保管、提供などに関するルールを定めており、事業者や行政機関などが個人情報を取り扱う際の共通ルールとなっています。2003年5月に制定された法律ですが、最新の改正は、2022年4月1日に施行された改正個人情報保護法です。この改正では、個人情報の利用停止・消去等の請求権が拡充され、漏えい等報告・本人通知の義務化、外国にある第三者への提供に関する規定の整備などが行われました。また、個人関連情報という概念が導入され、Cookie情報などの取り扱いも規制対象となりました。個人情報保護法上のルールを守らない場合には、指導や勧告、罰金等につながる可能性があります。なお、個人情報保護法の第1条では、その目的を以下のように明記しています。個人情報の保護に関する法律 第一条|e-Gov法令検索個人情報の具体例以下に個人情報の具体例を説明します。ちなみに個人情報保護法は存命されている方が対象になります。故人に関する情報は、「個人情報」に該当しません。例えば、江戸時代幕末に活躍した坂本龍馬に関する情報は、それが氏名や住所(どこに住んでいたか)などの情報であっても、個人情報保護法の適用は受けません。坂本龍馬は故人のためです。特定の個人を識別することができる情報ある情報から特定の個人に辿り着くことができる場合、その情報は、「個人情報」に該当します。具体例には以下のようなものが該当します。会社が保管している従業員の情報住民票医療カルテ顔写真防犯カメラによって撮影された顔が映った映像他の情報とに照合することがで、特定の個人を識別することができる情報代表的なものは「携帯電話の番号」です。通常はそれだけでは個人を特定することはできません。しかし、通信販売などを営んでいる会社で、買い物客リストに個人の氏名と携帯電話の番号が記載されているとします。もし、このような会社の社員が携帯電話の番号だけを知ったとすると、その携帯電話の番号と自社の買い物客リストとを簡単に照らし合わせることができます。個人識別符号が含まれる情報「個人識別符号」とは、次の2つのどちらかに該当するものをいいます。個人の身体の特徴をコンピュータ処理などで変換した情報で、個人を特定できるもの例として、指紋や虹彩、指や手のひらの静脈パターン、DNAなどが該当します。各自にユニークな文字、番号、記号などを含む情報で、個人を特定できるもの例として、マイナンバー、運転免許証番号、パスボート番号、保険者番号などが該当します。個人情報を取り扱うときの基本ルールとは?以下に個人情報を取り扱う際のルールを解説します。個人情報を取得・利用するとき個人情報を取得する際、また利用するときは、利用目的の特定・設定が必要です。個人の権利やプライバシーを守るためであり、また法律で定められているからです。個人データを保管・管理するとき個人データは適正な安全管理措置のもとで保管・管理しなければなりません。情報漏えいや不正アクセスから個人の権利を守り、企業の信頼性を維持するためです。個人情報などの機密情報の取り扱いについて、企業では施錠された保管庫で厳重に管理し、アクセス権限を持つ担当者のみが閲覧できる体制を構築・運用することが重要です。個人データを第三者に提供するとき個人データを第三者へ提供する際は、原則、本人の同意を得る必要があります。個人の権利とプライバシーを保護し、情報の適切な受け渡しを確保するためです。保有している個人データの開示を求められたとき本人から「保有個人データ」の開示を求められた場合、速やかに対応しなければなりません。対象者の権利を尊重し、透明性の高いデータ管理を実行するためです。個人情報の漏えいを防ぐための5つの対策① 信頼性の低いWEBサイトへはアクセスしない(させない)不審なWEBサイトへのアクセス制限は、個人情報漏えい対策の重要な要素です。悪意のあるWEBサイトは、マルウェア感染や個人情報の窃取を引き起こす主要な経路だからです。ITを使った施策として、WEBフィルタリングやDNSフィルタリングのシステムを導入し、危険なサイトへのアクセスをブロックすることも効果的です。② 定期的なソフトウェアのアップデート定期的なソフトウェアアップデートの実施は、情報セキュリティ対策の基本です。主に脆弱性を放置すると、マルウェア感染や不正アクセスの侵入口として悪用される危険性が高まるためです。企業では、OSやアプリケーションの自動アップデート機能を活用するなど、セキュリティパッチを迅速に適用することが個人情報保護の観点で義務となります。③ IDパスワードの管理を徹底する強固なパスワードポリシーの導入と運用は、情報セキュリティの基本です。IDやパスワードの不適切な管理は、不正アクセスや個人情報漏えいの原因となるためです。企業では、パスワードの最低文字数設定、英数字記号の混在要求などの基準を設けます。さらに、二要素認証の導入やパスワード管理ツールの活用により、セキュリティレベルを向上させることができます。また業務端末の紛失時には、リモートでIDパスワードを無効化して、業務端末に第三者がログインできなくする仕組みも必要です。④ 従業員への教育実施定期的な研修プログラムをとおして、従業員のリテラシー向上が重要です。例えば、四半期に一回程度の確認テスト(合格するまで何度も受ける)も有効な手段です。⑤ オペレーションミス、内部関係者の意図的な漏えい対策ITAM(IT Asset Management:資産管理ツール)で端末の操作ログを取る、UEBA(User and Entity Behavior Analytics)で従業員の不審な動きを早期に検出する、など内部リスクに有効なITソリューションが存在します。またITAM / UEBAの導入・運用を従業員に予め周知することで抑止力効果も期待できます。まとめ個人情報の漏えいは企業の信用を大きく損なう重大な問題であり、技術的対策と人的対策の両面から包括的な取り組みが必要です。また、一度情報漏えいが起こると企業の印象・評判を著しく下げ、またその事実は検索エンジンの検索候補にも「〇〇株式会社 情報漏えい」形で残り続けることもあります。デジタル化が進む中、個人情報の取り扱いや保管方法には、より慎重な対応や施策が求められています。スカイゲートテクノロジズでは、主に内部リスクを起因とする個人情報漏えい対策のソリューションとして、UEBA機能を有する次世代SIEM『Cygiene Analytics(サイジーン アナリティクス)』を提供しています。『Cygiene』について、ぜひお問合せください。