Comments
Description
Transcript
個人情報の取扱いと保護について
PMS-Solution 個人情報の取扱いと保護について ープライバシーマーク認定事業者としての責任ー 所属 氏名 【概要】 概要】 本テキストは、日本工業規格であるJIS Q 15001:2006で事業者に要求している 事項を日常の業務の中で注意しなければならない事項について抜粋し、事故事 例を中心に、審査基準の動向を取り入れて毎年刷新し、一般の従業者の方でも わかりやすく理解していただけるように構成しています。 【目標】 目標】 プライバシーマーク付与事業者として、日常の業務でどんなことを注意しなければ ならないかを理解していただきます。 1 PMS-Solution テキストを テキストを読み始める前 める前に意識確認をして 意識確認をして欲 をして欲しいこと! しいこと! 【その1 その1】 プライバシーマーク付与認定を受けるということは 当社は、JIS規格に基づいて個 人情報保護マネジメントシステム を構築し、個人情報の取扱いに ついて適切な取り組みを行って いる企業として、公的な証を得て いるということ。 テキストを、読み始める前に、意識確認をして欲しいことがあります。 まず、当社がプライバシーマーク プライバシーマーク認定 プライバシーマーク認定を 認定を受けているということはどういうことか と言うことです。 それは、「当社 当社は 当社は、JIS規格 、JIS規格に 規格に基づいて個人情報保護 づいて個人情報保護マネジメントシステム 個人情報保護マネジメントシステムを マネジメントシステムを 構築し 構築し、個人情報の 個人情報の取扱いについて 取扱いについて適切 いについて適切な 適切な取り組みを行 みを行っている企業 っている企業として 企業として、 として、 公的な 公的な証を得ているということ」ですね。 ているということ といこうことは、当社は個人情報保護に対して、適切な取り組みをキッチリとし なくてはいけないということです。 そこを、まず意識確認しておきましょう! 2 PMS-Solution テキストを テキストを読み始める前 める前に意識確認をして 意識確認をして欲 をして欲しいこと! しいこと! 【その2 その2】 個人情報は、『預かっている』 という考え方で取り扱う 個人情報保護マネジメントシステムは、自分の身を守る仕掛け 『私が(組織が)加害者にならないために』 「~だろう」で取り扱うのではなく、 「~かもしれない」で取り扱いましょう。 たった一人の従業者の『“0”の掛け算』 1人1人が意識し守ることが一番重要 次に、記載している4つのことを常に頭においてください。 まず1つめは、 、個人情報は 個人情報は本人から 本人から「 から「預かっている」 かっている」という考 という考え方で取り扱いま しょう! しょう!みなさんは、お客様から預かった物を放置したり、勝手に承諾もなく使った り、人に上げたりしますか?個人情報の取扱いも全く一緒です。 預かっているということを意識すると行動が変わります。 2つめは、個人情報保護 個人情報保護マネジメントシステム 自分の身を守る仕掛け 仕掛けだと 個人情報保護マネジメントシステムは マネジメントシステムは、自分の いうことです。当社や当社の委託先から預かった個人情報が漏えいしたら、 真っ先に疑われるのはもちろん当社です。 あなたが、もしくは当社が不幸な結果にならないために、個人情報保護マネジ メントシステムの運用をしっかり遵守しましょう。 3つめは、個人情報保護の運用は、車の運転の標語と同じです。「これをやら なくても漏えいはしないだろう しないだろう」とか「こうしておいても紛失はしないだろう しないだろう」では しないだろう しないだろう なく、「これをやらなければ漏えいするかもしれない するかもしれない」とか「こうしておいたら紛 するかもしれない 失するかもしれない するかもしれない」という考え方で取り扱いましょう。 するかもしれない 4つめは、個人情報保護対策、情報セキュリティ対策の基本的な考え方です。 いろんなルールや設備を整えても、あなたが守らないと意味がありません。 ご存じのとおり、数字の“0”はどの数字を掛けても“0”になります。たった一人 のあなたが“0”だったらすべてが無意味になるということです。 まず、あなたが あなたが意識 あなたが意識して 意識して守 して守ることがもっとも重要 ることがもっとも重要だということを 重要だということを意識 だということを意識しておいてく 意識しておいてく ださい。 ださい。 3 PMS-Solution 個人情報保護マネジメントシステムに適合することの重要性及び利点 個人情報の取扱いと保護について まず、個人情報保護マネジメントシステムに適合することの重要性及び利点につ いて学びます。 4 PMS-Solution 1.企業にとって守るべき情報とは Ⅰ.個 人 情 報 今現在、一番社会問題になっているのが、個人情報。いままでは、管理はされずに自由 に利用されていた。 2005年4月から個人情報保護法が施行され、個人情報を5,000人保有する企業は 個人情報取扱事業者として法律の対象企業として個人情報を保護することが義務付け られている。しかし、情報漏洩 情報漏洩は 情報漏洩は5,000人 000人を超える超 える超えないは関係 えないは関係ないので 関係ないので、 ないので、本来はす 本来はす べての企業 べての企業である 企業である程度 である程度の 程度の対策は 対策は必要。 必要。 Ⅱ.営業秘密情報 秘密として管理されている生産方法、販売方法、その他の事業活動に有用な技術上又 は営業上の情報であって、公然と知られていないものをいう(不正競争防止法で保護さ れる情報)。 設計図のCADデータ、図面、顧客名簿、取引の記録簿等、漏洩や持ち出しで今まで問 題になっている。 営業秘密情報が 営業秘密情報が法律( 法律(不正競争防止法) 不正競争防止法)によって保護 によって保護されるためには 保護されるためには、 されるためには、秘密として 秘密として管理 として管理 され表示 され表示されていることが 表示されていることが必要 されていることが必要。 必要。 Ⅲ.企業機密情報 自社が著作権を持っているような、自らの情報で知的財産、ノウハウなども含め有形無 形のもの。 設計・製造・技術ノウハウ、特許情報、財務情報、人事情報やコンピュータのプログラム ソース等。 発明され 発明され、 され、創作された 創作された時点 された時点で 時点で直ちに機密 ちに機密と 機密と認定できる 認定できる仕組 できる仕組みが 仕組みが必要 みが必要。 必要。 企業にとって守るべき情報は、大きく3つあります。 まず1つは、個人情報 個人情報です。2005年4月に個人情報保護法が施行されてから、 個人情報 個人情報に対する国民の意識は高まり、個人情報の悪用は、一番社会問題に なっています。 2つめは、営業秘密情報 営業秘密情報です。事業活動に有用な技術情報又は営業上の情報 営業秘密情報 をいいます(個人情報も含まれます)。万が一漏えい等の事件があった場合、秘 密として管理されていることにより、不正競争防止法が適用される可能性がありま す。 3つめは、企業秘密情報 企業秘密情報です。これは、自社で著作権を持っているような、知的 企業秘密情報 財産、ノウハウなども含めた有形無形の情報です。 個人情報保護マネジメントシステム 個人情報保護マネジメントシステムは マネジメントシステムは、守るべき情報 るべき情報のうち 情報のうち「 のうち「個人情報」 個人情報」と「営業秘 密情報における 密情報における個人情報 における個人情報」 個人情報」を保護する 保護するマネジメントシステム するマネジメントシステムです マネジメントシステムです。 です。 5 PMS-Solution 2.個人情報の必要性 ■企業活動に 企業活動に欠かせない個人情報 かせない個人情報 ●作れば売 れば売れた大衆消費時代 れた大衆消費時代は 大衆消費時代は終わり、 わり、顧客が 顧客が求める商品 める商品・ 商品・サービスの サービスの提供が 提供が必要 趣味嗜好、購買傾向、層別、購買力など、顧客の情報を収集して個別マーケティング(CRM) ●ネットワークを ネットワークを利用した 利用した低 した低コストマスマーケティング 電子メールによるDM(ダイレクトメール) ●IT化 IT化によるサービス によるサービス迅速化 サービス迅速化、 迅速化、サービス高機能化 サービス高機能化 会員データベース、取引履歴 ●顧客囲い 顧客囲い込みによるリピータ みによるリピータ化 リピータ化を狙う 会員カードによるポイント提供、会員制メルマガなどによる情報提供 ■価値ある 価値ある詳細 ある詳細な 詳細な個人情報 ●マーケティングや マーケティングや顧客開拓に 顧客開拓に、新しい顧客 しい顧客データ 顧客データが データが必須 ●マーケティング効果 マーケティング効果を 効果を高めるために、 めるために、顧客の 顧客の層別、 層別、購買力、 購買力、趣味嗜好、 趣味嗜好、購買傾向など 購買傾向など詳細 など詳細な 詳細な情報が 情報が必要 ●名簿業者を 名簿業者を通した、 した、個人情報の 個人情報の流通 あなたの個人情報 あなたの個人情報が 個人情報が、お金になる時代 になる時代に 時代に! 昨今、企業活動に個人情報の収集はかかせない時代となってきました。 まず1つは、大衆消費時代 大衆消費時代は 大衆消費時代は終わり、 わり、個々のお客様 のお客様が 客様が求めるサービス めるサービスの サービスの提供 の必要性が 必要性が出てきたということです。 てきた 趣味嗜好、購買傾向、各種層別、購買力などの顧客毎の情報を収集して マーケティングを展開するCRMなどの手法に利用されています。 2つめは、電子 電子メール 電子メールなど メールなどネットワーク などネットワークを ネットワークを利用した 利用した低 した低コストマスマーケティング への利用 への利用。 利用。 3つめは、IT ITを ITを利用しての 利用しての会員 しての会員データベース 会員データベースの データベースの作成、 作成、取引履歴などを 取引履歴などを活用 などを活用し 活用し たサービスの サービスの迅速化や 迅速化やサービスの サービスの高機能化を 高機能化を狙った利用 った利用の仕方です。 利用 4つめとして、顧客 顧客を 顧客を囲い込みへの利用 みへの利用が上げられます。 利用 会員カードによるポイント制、メルマガなどによる情報提供などで、顧客のリ ピータ化を狙った利用です。 企業活動にかかせない個人情報、それと比例して、あなたの個人情報が価 値あるものになってきました。 マーケティングや顧客開拓に、新しい個人情報が必須です。そして、マーケ ティング効果を高めるために、詳細な個人情報をいかに取得するかがポイント になってきています。それをビジネスにした名簿販売業者による個人情報の 流通があることも事実です。 あなたの個人情報 あなたの個人情報が 個人情報が、お金になる時代 になる時代になっていることを 時代になっていることを改 になっていることを改めて認識 めて認識しましょ 認識しましょ う。 6 PMS-Solution 3.個人情報保護マネジメントシステムの必要性について 個人情報がお金になる時代、取得した個人情報は大切な預かりもの! 法律規制がなかった 法律規制がなかった時代 がなかった時代 個人情報利用 ◆特に何も考えなかった ◆自由に集めて、自由に利用していた。 個人情報の流出による 事件が急増してきた 2005年4月以降 法律による 法律による規制 による規制の 規制の時代 個人情報利用 ◆法律に則った利用(処罰がある) ◆個人情報漏えいはプライバシー侵害による 訴訟事件となり事業の存続の危機に陥る 利用について 利用について 意識して 意識して いなかった このままだと 事業の 事業の存続に 存続に 関る問題に 問題に! 従来の 利用環境((システム システム))を、個人情報保護 個人情報保護する する体制 体制に 改善する する必要 必要が 従来 の利用環境 する 体制 に改善 する 必要 が出てきた どう対応 どう対応したらよいのか 対応したらよいのか? したらよいのか? 個人情報保護対策の 個人情報保護対策の仕組み 仕組み作りを行 りを行い対応する 対応する!! する!! 個人情報保護マネジメントシステム 個人情報保護 マネジメントシステム 個人情報保護マネジメントシステム マネジメントシステムの の構築 構築 個人情報保護マネジメントシステムの マネジメントシステムの 【【プライバシーマーク付与認定 プライバシーマーク 付与認定 プライバシーマーク付与認定 付与認定】 プライバシーマーク付与認定】 付与認定】】 個人情報がお金になる時代です。当社が取得した個人情報は、大切な預か りものです。 法律規制がなかった時代は、特に何も考えず、自由に集めて自由に利用して いました。しかし、個人情報の流出により、迷惑メールや架空請求、オレオレ 詐欺など、悪質な利用が急増してきました。 そこで、ご存じのとおり、2005年4月に個人情報保護法が施行され、法律によ り規制される時代に変化しました。 個人情報は、法律に沿って利用しなければ行政処分を受け、個人情報漏 個人情報漏え 個人情報漏え いは、 いは、プライバシー侵害 プライバシー侵害として 侵害として訴訟事件 として訴訟事件となり 訴訟事件となり、 となり、大量の 大量の個人情報漏えい 個人情報漏えい事故 えい事故 や事件を 事件を起こしてしまうと企業 こしてしまうと企業の 企業の存続に 存続に関する問題 する問題になると 問題になると言 になると言っても過言 っても過言では 過言では ありません。 ありません。当社は、従来の利用環境を、個人情報を保護する体制にする必 要性が出てきました。 では、どう対応したらいいのか。それには、個人情報保護対策の仕組み作りを 行い対応することです。 そのためには、個人情報保護マネジメントシステムの構築が必要条件になります。 当社は 当社は、個人情報保護マネジメントシステム 個人情報保護マネジメントシステムの マネジメントシステムの一定の 一定の国内基準を 国内基準を満たすこと でプライバシーマークの プライバシーマークの付与が 付与が認められ、 められ、公的な 公的な証になっています。 になっています。 7 PMS-Solution 4. 個人情報漏えいの原因は? 個人情報漏えい事故の80%~90%は、「うっかりミス」で起こっています ■個人情報漏えい 個人情報漏えい事件 えい事件・ 事件・事故 悪意による内部犯行や 外部からの攻撃 10%~ 20% 組織内部の 組織内部の人間の 人間の「不注意」、 不注意」、悪意 」、悪意でない 悪意でない不注意 でない不注意 80%~ 80%~90 %~90% 90% 委託先からの 委託先からの情報漏 からの情報漏えい 情報漏えいと自宅 えい 自宅の 自宅のPCからの PCからの漏 からの漏えいが急増 えい ハードウェアや ハードウェアやソフト ウェアなどの ウェアなどの技術的 などの技術的 な対策で 対策で対応 「うっかりミス うっかりミス」 ミス」による個人情報漏 による個人情報漏えい 個人情報漏えい【 えい【事例】 事例】 ■会社帰りにうたた寝をしてタクシーに書類を置き忘れた ■複数メールの送信先にCC機能を使って送信した。 ■家のパソコンに「Winny」がインストールされていると知らずに会社のデータを保存した ■外部から持ち込んだUSBメモリをパソコンに差して使用したら、ウィルスに感染してしまった ■機密書類をプリントアウトしてしばらくたって取りに行ったら紛失していた ■車にノートパソコンを置いたままにしていたら車上荒らしにあってしまった ■パソコンのハードディスクをフォーマットしただけの状態で廃棄した 人の意識が セキュリティの の弱点! 意識が一番の 一番のセキュリティ 弱点! たった1 1人の従業者 従業者の の『 “0”のかけ のかけ算 算 』!! たった 個人情報の漏えい事故の年間の件数を100%とするならば、 、原因の 原因の80%~ 80%~ 90% 90%は、組織内部の 組織内部の人の「不注意」、 不注意」、もしくは 」、もしくは悪意 もしくは悪意でない 悪意でない不注意 でない不注意、 不注意、ようは「 ようは「うっ かりミス かりミス」 ミス」で起こっています。 こっています。 その中でも、最近急増しているのは、委託先からの漏えいや自宅のPCからの 漏えいです。 あなたは、個人情報保護について定期的に教育を受け意識づけされていま すが、委託先も同じように意識づけされているでしょうか?たとえ1社でも意識 のない委託先があったとしたら、そこから個人情報漏えい事故は起きてしまう 確率は高いですね。委託先が情報漏えいを起こしてしまったら、訴訟されるの は当社です。 企業防衛としてそれを防ぐためには、「委託先の評価」「機密保持契約の締 結」をしてしっかり監督をしましょう。 次に、急増しているのが自宅のPCからの漏えいです。 家族の方は、個人情報保護に対して意識はどのレベルでしょうか?子供さん が興味本位でファイル共有ソフト(Winny等)をダウンロードしているPCに、家 庭内LANで接続されている、あなたのPCから個人情報が漏えいしてしまうと いう、不幸な事故がたくさん起こっています。 自宅のPCに仕事上のデータを保存しないようにしましょう。 8 PMS-Solution 5. 個人情報の取扱い事故について 【内訳】 ・メール(29%) ・宛名間違い等(25%) ・封入れミス(24%) ・FAX(13%) ・配達ミス(9%) 資料:一般財団法人日本情報経済社会推進協会 プライバシーマーク推進センター 一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター (通称:JIPDEC)が調べた平成22年度の個人情報の取扱い事故報告をグ ラフにしたものです。 見たらわかる通り、人のミスによる事故が86%(誤送付54%、紛失26%、 人的ミスによるその他の漏えい6%)を占めています。 やはり、組織内部 組織内部の 組織内部の人の「不注意」、 不注意」、もしくは 」、もしくは悪意 もしくは悪意でない 悪意でない不注意 でない不注意、 不注意、ようは「 ようは「うっか りミス」 ミス」で起こっていることが理解 こっていることが理解していただけると 理解していただけると思 していただけると思います。 います。 一番率の多い誤送付では、“メールの誤送信”“宛名間違い”“封入れミス”で 78%を占めています。とくに“メールの誤送信”は昨今電子メールの利用が増 えてきているため、ここ数年急激に増えてきていますので、十分な注意が必 要です(23.電子メール利用時の注意事項にて解説)。 9 PMS-Solution 6.個人情報漏えい事件【事例】 ■ 私物USB 私物USBメモリ USBメモリ紛失事件 メモリ紛失事件 発生年 業 種 漏えい情報 えい情報 原 因 経路・ 経路・媒体 漏えい情報 えい情報 2005年 運輸業 個人情報(5,048人) 紛失・置き忘れ USB 氏名、所属、役職名、生年月日 運輸業A社の人事課社員が全社員と取引先会社役員の名前や所属、職名や生年月日など記録した 私物のUSBメモリを一時紛失した。 紛失の報告は無く、USBメモリが同封された匿名の封書が同社に届き発覚した。 書簡には、インターネットカフェのパソコンに差し込まれていたと書かれていた。 同社は、個人情報の社外への持ち出しを内規で禁止している。 【被害者対応費用】 被害者対応費用】 初期対策費用 謝罪連絡費用 (会議費、コンサル費) (お詫び状送付、電話謝罪等) 約3,000千円 000千円 謝罪訪問費用 広報費用 臨時的対策費用 (交通費、お土産等) (謝罪広告等) (問い合わせ窓口等) 実害者対応 約4,000千円 000千円(2社) 専任者設置有無 約1,000千円 000千円(お詫び状) 千円 お詫び費用として500円の金券を配れば2 2,524千円 524千円加算されます 千円 【損害賠償費用】 損害賠償費用】 精神的苦痛 経済的損失 1 1 機微情報度 本人特定容易度 損害賠償額( 損害賠償額(想定) 想定) 2 3 6,000円/人 損害賠償総額( 損害賠償総額(想定) 想定) 30, 30,288千円 288千円 *参考資料:NPO日本ネットワークセキュリティ協会(JOモデル) 個人情報漏えい事件の事例を1つ紹介します。 私物USBメモリの紛失事件です。 運輸業のA社の人事課社員が私物のUSBメモリに保存した5,048人分の基 本個人情報を一時紛失したという事故です。 「インターネットカフェのパソコンに差し込まれていた」とのこと。 何に使われていたのか脅威を感じますね。 事例には実際の被害者対応費用が明記されていませんが、この事故による 被害者対応費用を試算してみてると、【初期対応費用】+【謝罪連絡費用】 +【広報費用】で約8,000千円かかり、これに【お詫び費用】として500円の 金券、【謝罪訪問費用】、【臨時的対策費用】が発生すれば約15,000千円 以上の費用がかかることになります。 もし、被害者全員が訴訟を起こしたとしたらプラス約30,000千円の費用が かかり、もちろん会社 会社の 会社のイメージも イメージもダウンしますので ダウンしますので、 しますので、会社の 会社の存続に 存続に係わる大 わる大き な問題になることを 問題になることを理解 になることを理解してください 理解してください。 してください。 ※【損害賠償費用】の係数は、NPO日本ネットワークセキュリティ協会のJOモ デルを参照しています。 10 2012/ / /100 PMS従業者教育 PMS従業者教育 ― 理解度テスト 理解度テスト ― 合格点:70点 所属 氏名 1. 常に意識しておくことで次の空欄を埋めて下さい。【各1点】 ・個人情報は、『① 』という考え方で取り扱う。 ・個人情報保護マネジメントシステムは、② を守る仕掛け。 ・「~だろう」と取り扱うのではなく、「~かもしれない」で取り扱いましょう。 ・たった一人の従業者の『“0”の掛け算』、1人1人が意識し守ることが一番重要。 2. プライバシーマーク認定事業者の『個人情報保護とは何をすることか』空欄を埋めてください。【5点】 Ⅰ.個人情報保護方針と内部規定の策定と順守 Ⅱ.③ Ⅲ.正確性と安全性の確保 Ⅳ.開示請求、苦情への迅速な対応 3. プライバシーマーク付与認定について空欄を埋めて下さい。【1点】 個人情報保護に対するJIS(JIS Q 15001:2006)規格に適合した個人情報保護マネジメントシステムを構築 し、個人情報の取り扱いを適切に行っている事業者を、第三者機関である一般財団法人日本情報経済社会 推進協会、通称:JIPDEC(及びその指定機関)が④ し、その証としてプライバシーマークと称する ロゴの使用を承諾する制度 4. 個人情報保護マネジメントシステムについて空欄を埋めて下さい。【各1点】 個人情報保護を、実践するための計画を立て、それを実行し、個人情報保護が適切に行われているかどう かを定期的または必要に応じて評価、見直しを実施し、改めるべき点があれば⑤ ルを⑥ するというサイク に運用していく仕組み。 5. 個人情報保護マネジメントシステムの体制について空欄を埋めてください。【各8点】 ・当社の個人情報保護管理者は、⑦ ・当社の個人情報保護監査責任者は、⑧ (役職又は部署で苗字だけでもOK)。 (役職又は部署で苗字だけでもOK)。