個人情報保護法


目次

・個人情報保護法とは…
・個人情報保護法ガイドラインとは…
・個人情報保護法で明確とされている、個人情報とは…
・個人情報を取得する時に行わなければならないこと…
・個人情報取扱事業者とは…
・個人情報の流出するパターンとは…
・個人情報を守るために企業が取得する資格とは…
・個人情報保護法についての質問


個人情報保護法とは…

 平成15年5月30日に可決された法律で、平成17年4月1日より施行される法律で
近年に発生致しました、数万人規模の個人情報漏洩事件に対処するために
作られた法律です。
 今までは、個人情報漏洩がされても企業内での罰則などがあっても
法律的な罰則がありませんでした。
 この法律が施行された後に、個人情報が漏洩した場合の法的罰則が取られる法律となります。
他にも個人情報を取得する場合には、必ずガイドラインなどで明記を必ず行ったりと
今までは個人情報の取り扱いについては、自己のマナーの範囲内だったのが
この法律が施行された後には法的罰則という、個人情報の取り扱いに対して
厳重なる対処が必要になってきます。

参考:首相官邸ホームページ
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

戻る


個人情報保護法ガイドラインとは…

 経済産業省などでは、平成15年5月30日に可決された個人情報保護法について
企業に対する個人情報の管理についてのガイドラインを発行しました。
 こちらのガイドラインは法律に沿って記載されているガイドラインです。
 個人情報を管理する企業については、法律が施行されるまでの2年間の間に
このガイドラインなどを利用し企業内での個人情報の厳格管理の徹底化を促しました。

参考:経済産業省 - 個人情報保護
http://www.meti.go.jp/policy/it_policy/privacy/privacy.htm

戻る


個人情報保護法で明確とされている、個人情報とは…

 個人情報保護法では、一般的に個人情報で1個人に対して
知っていれば1個人の特定に辿り着けるような情報に対して
厳格に管理しなければならないと記載されております。
 その個人情報ですが
・氏名
・住所
・電話番号
・個人の履歴(学歴・職歴など)
・メールアドレス
などがあります。

 特に住所・電話番号については、もし住所・電話番号の情報を入手した場合に
容易に個人を特定することが出来ますので管理を厳重にする必要があります。
 なぜ、メールアドレスも個人情報の保護の範囲内に入っているかと言いますと
メールアドレスに自分の氏名を入れる人がいるから、とされています。
 例えば、鈴木次郎さんがjiro_suzuki@×○△.co.jpといったメールアドレスにしている
ケースがあるからということで、メールアドレスも個人情報保護の範囲内として
入ることになりました。

戻る


個人情報を取得する時に行わなければならないこと…

 個人情報保護法施行後に個人情報を取得する際に必要になってくることがあります。
それは、個人情報の利用目的の明確な記載です。
 今まではある程度は個人情報の利用目的などが自己の判断で記載されておりましたが
今後は個人情報の利用目的の明確に記載しなければならなくなります。
 例えば、アンケートで個人情報を記載していただく場合には
そのアンケートの利用目的をちゃんと表示しなければなりません。
 また、もしそのアンケートでダイレクトメールやメールマガジンなどを発信する場合には
アンケートの際にダイレクトメールやメールマガジンなどを発送する旨の記載を行わなくてはならなくなります。
 他にもホームページのCookieやアクセスログなどの個人情報を保存させる場合などでも
その旨の記載も必要になってきます。

 法律としては記載はありませんが、ホームページなどに「個人情報保護ポリシー」というページを作成し
そちらのページにて個人情報について企業の取り組みなどを記載しなければならなくなります。
 次に必要なのが、個人情報開示要求と削除という点です。
 個人情報保護法では、取得した個人情報をについて個人情報を入力した本人から
開示要求があった場合に応じ、開示した本人の個人情報について削除依頼があった場合に応じるとあります。

戻る


個人情報取扱事業者とは…

 個人情報取扱事業者とは、個人情報を大体5,000件以上(※)取り扱っている企業のことを言います。
 対象はパソコンのデータベースから、用紙で個人情報がまとめられている台帳などさまざまな 個人情報のデータが対象となります。
 個人情報取扱事業者になると、個人情報の厳格な取り扱い義務が発生し
個人情報の厳格な管理はもとより、個人情報の明確な入手法の表示や個人情報管理者制限や
さらには個人情報漏洩対策などについて適切な措置手段を講じなければならなくなります。
 もし個人情報が流出してしまった場合には、総務省への報告義務も生じてきます。
 これらの作業を怠った個人情報取扱事業者には、法的な罰則が生じます。

※ 何故大体5,000件という風になっているかと言いますと、もし取り扱っている個人情報が
5,000件より数十件ほど少ないと仮定し、もし個人情報が漏れてしまい5,000件になる為の
情報が5,000件より数十件ほど少ないという理由で総務省への報告義務を怠った場合に
総務省が5,000件に近いという理由で個人情報取扱事業者という判断を受ける可能性があるからです。

戻る


個人情報の流出するパターンとは…

 個人情報流出でよくあるパターンとしては、人から人への流出です。
 例えば、個人情報が入った鞄を電車の網棚の上に置き忘れたりとか
悪意ある社員が個人情報の入ったデータベースから個人情報をプリントアウトや
メールで転送して販売するケースがあります。
 他にも、ネットのセキュリティの甘さから個人情報を抜き出されてしまったり
違法ファイルを交換するP2Pツールを動かしていたパソコンから
個人情報が流出するといったケースまであります。

 セキュリティの甘さについては、使っているOSなどのバージョンが古いということが
原因となっており、OSなどのソフトウェアの更新やファイヤーウォールの厳格な設置を行えば
情報流出については大抵防ぐことが出来ます。
 違法ファイルを交換するP2Pツールを動かしているソフトを利用している人がいるかどうかは
テレビジネスのTeleDog(※)などの、ネットワークモニタリングツールを導入すれば
パソコンの稼働率管理も出来るので、対処出来ます。
 悪意ある社員が個人情報の入ったデータベースから個人情報を抜き取った場合にも
テレビジネスのTeleDog(※)などの、ネットワークモニタリングツールを導入すれば対処可能です。
 あとは、個人情報が入った鞄を電車の網棚の上に置き忘れたりといったケースについては
内部でちゃんと規則を作成し、個人情報を外へ持ち歩かない・鞄は常時所持し
無くならないようにすれば対処は可能です。

 他にも、想定外のことが起きる可能性というものが発生致します。
 その場合についても、想定外のケースを予測して早めに予防を行いましょう。

※ 参考:TeleDog
http://dog.tele.jp/

戻る


個人情報を守るために企業が取得する資格とは…

 個人情報を漏洩しないようにする国際基準と致しまして、
プライバシーマーク制度と情報セキュリティマネジメントシステム(ISMS)が存在します。
両資格とも、個人情報を厳格に守秘するためのマニュアル・ガイドライン、
そして個人情報が漏洩してしまった場合の対処法を記載する義務があります。
 情報セキュリティマネジメントシステム(ISMS)を取得するために、とある企業では
メールの添付ファイルを前面使用禁止にしたり、パソコンを廃止して専用のネットワーク機器を利用して
作業などを行わせてる所もあります。
 もし、両資格を取得したい場合にはプライバシーマーク制度と情報セキュリティマネジメントシステム(ISMS)
のページを参考にして企業内でガイドラインを作成しましょう。

参考:プライバシーマーク制度
http://privacymark.jp/
参考:情報セキュリティマネジメントシステム(ISMS)
http://www.isms.jipdec.jp/

セキュリティの資格についての参考書は、amazon.co.jpで購入してみてはいかがですか?

戻る


個人情報保護法についての質問

目次

Q:個人情報の当人確認を行う方法をどうすれば良いのかがわかりません。
Q:個人情報漏洩でネットワーク内での対策方法はありませんか?
Q:個人情報取扱事業者にならなくても良い方法はありますか?
Q:取得した個人情報でダイレクトメールを行いたいですが、大丈夫でしょうか?
Q:営業活動で頂いた名刺を利用してダイレクトメールを発信出来ますか?
Q:ダイレクトメールを発信するときの注意点はありますか?
Q:個人情報保護法適用前に取得した個人情報を利用出来ますか?
Q:社員が個人情報をうっかり漏らしそうで心配です。どうすればよろしいでしょうか?
Q:個人情報が入ったノートパソコンなどに対するセキュリティの取り方ってありますか?
Q:個人情報が入ったサーバーのデータをバックアップを行いたいのですが、
   バックアップした個人情報の管理が心配です。

Q:個人情報保護法に違反すると、どうなるんですか?
Q:個人情報保護法の除外対象はありますか?
Q:市役所や区役所にある住民基本台帳は個人情報保護法に当たるんですか?
Q:私用のホームページで掲示板を運営しております。  
    掲示板に書かれた個人情報の削除を要求されましたが、対処しなければならないんですか?

Q:自分で作成したホームページで個人情報について気を付ける点はありますか?
Q:個人情報漏洩対策として有効な対策はありますか?

戻る


Q:個人情報の当人確認を行う方法をどうすれば良いのかがわかりません。

A:

   個人情報の開示を行うときに本人の確認をどう行うかにあります。
   インターネットの場合、ホームページなどにアクセスしてきた方についての履歴(アクセスログ)が
残ります。ですが、その情報を利用したのが本人かどうか確認する手段はあまり有効ではありません。
   メールについても、当人確認が出来る訳がなく数年前からメールアドレスの詐称というものが
ありますので、当人確認としては使えません。
   電話番号も、最近は携帯電話などがありますので有効だと思いますが
同じ電話番号でも当人と詐称して電話に出る可能性がありますので、これも有効とはあまり言えません。

   一番良い手段と致しますと、FAXでの本人確認という手段です。
   FAXにて個人情報部分を書いて送信して頂いて、FAX番号と個人情報部分を照らし合わせて
対処する方法が一番良いかとは思います。

戻る


Q:個人情報漏洩でネットワーク内での対策方法はありませんか?

A:

   ネットワークでの注意点と致しましたら、ネットワーク内で情報を盗聴して
個人情報を抜き取る手段というものがあります。

図解:個人情報の取得でよくあるケース例

   インターネットが各家庭に普及し始めた頃はセキュリティが甘い点が多々ありました関係上、
ネットワーク外から個人情報を抜き取る手段が多く存在しましたが、
最近はOSのセキュリティの向上によりネットワーク外からの個人情報の抜き取りが難しくなっております。
   ですが、ネットワーク内にいる人同士が情報を抜き取る手段が簡単になってきております。

   そういった行動に対しての対策と致しまして、インターネットでは、
ホームページからの入力した情報に対して暗号化を行う SSL認証 というページがあります。
   こちらは https://〜 というアドレスになっておりまして、こちらのページで
入力した情報を暗号化して送信しますので、ネットワーク内にいる人が
ホームページに入力した情報を抜き取るのは困難となっております。

   近年ですが、無線LANというネットワーク通信がございますが
無線LANは未だにセキュリティを甘く設定している企業などが多いとされています。
   そのセキュリティの甘い企業の無線LANのネットワークから、違法に無線LANの電波を受信してネットワークの中に入り
その企業の社員の振りをして、個人情報を抜き取るという手口がありますので
無線LANのネットワークには厳重にセキュリティを行い、誰でも外部からの人がネットワーク内に
入り込まれないようにする必要があります。

戻る


Q:個人情報取扱事業者にならなくても良い方法はありますか?

A:

   大体5,000件程度の個人情報を取得していると個人情報取扱事業者という扱いになってしまいます。
   ですので、古くなったり利用しないであろう個人情報の整理を行って
個人情報の削除を行うのが一番良いでしょう。

戻る


Q:取得した個人情報でダイレクトメールを行いたいですが、大丈夫でしょうか?

A:

   個人情報を取得する時に、ダイレクトメールの発信許可を必ず取る必要があります。
   そうでないと、ダイレクトメールを発信した方からの苦情が殺到します。
   ですので、ダイレクトメールを行いたいならまずは個人情報を取得するときに
当人からのダイレクトメール発信許可を取りましょう。

戻る


Q:営業活動で頂いた名刺を利用してダイレクトメールを発信出来ますか?

A:

   名刺を頂く際に、ダイレクトメールを発信するということを伝える必要があります。
   ですので、承諾を得てからダイレクトメールを発信しましょう。

戻る


Q:ダイレクトメールを発信するときの注意点はありますか?

A:

   ダイレクトメールを発信するときの注意と致しますと、個人情報の開示・削除要求といった
箇所や今後ダイレクトメールの受け取り許可・拒否を入れる項目を作る必要があります。

戻る


Q:個人情報保護法適用前に取得した個人情報を利用出来ますか?

A:

   個人情報保護法適用前に取得した個人情報を利用することは可能です。
   ですが、個人情報保護法適用前に取得した個人情報についても
利用目的を明確にしなければなりません。
   だからと言いましても、その個人情報の利用方法を個人情報登録者全員に通知することは
ありません。
   ですが、その個人情報の利用方法を明確に記載をし誰でも見れる場所に
表示をしなければなりません。

戻る


Q:社員が個人情報をうっかり漏らしそうで心配です。どうすればよろしいでしょうか?

A:

   社員が各個人で利用しているパソコン全機に対してネットワークの状態を監視する手段が一番良い
かと思います。
   テレビジネスが開発しておりますソフトウェアのTeleDog(※)では、ネットワークの使用履歴が
残りますので、社員が個人情報をもし漏らしてしまった場合に対しての対処が出来るようになっております。

※ 参考:TeleDog
http://dog.tele.jp/

戻る


Q:個人情報が入ったノートパソコンなどに対するセキュリティの取り方ってありますか?

A:

   一番良いのはノートパソコンなどに個人情報を入れないのが一番良い対処法ですが
それでは仕事にならない方もいらっしゃると思います。
   ちなみにOSに対してログインのパスワードをかけたと致しましても
HDDの中身を取り出してそのままHDDケースに入れますと、いくらOSのログインパスワードをかけても
すぐにHDDの中身が分かってしまいます。

   他にも、KNOPPIX(※)というCDで起動しますLinuxを動作することにより、OSのログインを
無視してHDDの中身に到達することが出来ます。
   ですので、対処法と致しますと USBメモリーキー など個人を認証させるための
パソコンの鍵を付けることが必要になってきます。
   また、HDDの中身を見られない為の対策と致しますと、HDDの中身を暗号化するための
ソフトウェアをインストールして対応するのも必要です。

※ 参考:KNOPPIX
http://unit.aist.go.jp/itri/knoppix/index.html
今回紹介致しましたKNOPPIXの利用法は正式なKNOPPIXの利用法ではありません。
他人のパソコンでKNOPPIXを勝手に起動しないで下さい。

戻る


Q:個人情報が入ったサーバーのデータをバックアップを行いたいのですが、
   バックアップした個人情報の管理が心配です。


A:

   個人情報が入ったデータのバックアップについては、一番盗難されやすいと思われますので
厳格に対処を行う必要があると思います。

   例えば、バックアップしたデータを開くにはバックアップを行ったサーバー本体以外での
起動を禁止する設定や、勿論バックアップしたデータにはパスワードをかけて
そのバックアップデータの保存方法は、特定の社員のみが知っている場所に保存をし
金庫の中に入れしっかりと鍵をかけて、誰でも簡単触れられないようにする必要があります。
   そのように行えば、個人情報を厳格に保存出来、バックアップのデータが流出することは無くなると思います。

戻る


Q:個人情報保護法に違反すると、どうなるんですか?

A:

   個人情報保護法に違反すると、所管官庁の「主務大臣」が個人情報取扱事業者に対して
6カ月以下の懲役または30万円以下の罰金などの行政処分を下します。

戻る


Q:個人情報保護法の除外対象はありますか?

A:

   あります。
   ホームページが放送機関・新聞社・通信社・大学・学校研究機関・宗教団体・政治団体などの場合は
個人情報保護法の除外対象と言うことに今現在はなっております。
   但し、除外されるのはホームページのみですので注意が必要です。

戻る


Q:市役所や区役所にある住民基本台帳は個人情報保護法に当たるんですか?

A:

   住民基本台帳は住民基本台帳法というものが存在するために、個人情報保護法の対象外です。
   住民基本台帳法では誰でも住民基本台帳を閲覧することが可能で、個人の氏名・住所・生年月日が
記載されており、さらに住民基本台帳に記載されている情報をそのまま紙に転載することが出来ます。
   住民基本台帳法は誰でも閲覧が可能な為に犯罪などに利用することが出来、その危険性が危惧されております。

戻る


Q:私用のホームページで掲示板を運営しております。  
    掲示板に書かれた個人情報の削除を要求されましたが、対処しなければならないんですか?


A:

   対処については行うべきです。
   たとえ個人のホームページの掲示板でも個人情報の削除には応じた方が良いでしょう。

戻る


Q:自分で作成したホームページで個人情報について気を付ける点はありますか?

A:

   あります。
   よくあるパターンとしては、個人のホームページに自分の本名や顔写真を入れるパターンです。
   自己をアピールしたい方ならかまいませんが、なるべく自分の本名や顔写真を使うべきではないでしょう。

   また、近年はブログという個人で簡単に作成出来る日記帳などがありますが
そういったページに社内の内部情報を漏らす方がよくおります。
そのような情報も企業にとっては個人情報と同じくらい重要ですので、内部情報を記載しない方が
良いでしょう。

   また、メモ帳代わりにホームページに記録を残す方がまれにいます。
   そのメモ帳代わりのホームページをオープンにして誰でも見えるような状態にしてしまうと
Googleなどの検索エンジンですぐに引っかかって情報が簡単に漏洩致しますので
誰でも破られないようなログインページを作りまして、中身が絶対に見えないように
設定を必ず行いましょう。

戻る


Q:個人情報漏洩対策として有効な対策はありますか?

A:

   あります。
   個人情報については、氏名・住所・電話番号などを別々に管理を行い
特に必要なのが電話番号と住所であり(住所か電話番号さえ分かればすぐに個人を特定出来るため)
電話番号は市外局番と市内局番を別々に管理を行い、住所も都道府県と市区町名と番地を別々に
管理する必要があります。

   そして、各データ共通の振り分け番号を付けて保存を行う方法が良いと思います。
   こちらですと、もし個人情報が漏洩したとしても氏名・住所・電話番号などを
別々に管理している為に最小限の被害で済みます。
   また、個人情報を管理するパソコンには必ずネットワークに接続出来ない環境にして
フロッピーディスクやUSBやCD-ROM・DVDドライブが利用・接続出来ない環境にすることも必要です。
   それに個人情報を管理する人間を最小限に限らせて、個人情報を管理するパソコン専用の
鍵付きの個室を用意するのも必要でしょう。
   もしくは、USBキー や 指紋認証 などを使うのも良いです。

   そこまで行えば個人情報が漏洩する可能性はかなり低くなります。
   ですが、想定外のことで個人情報が漏洩する可能性というものもありますので
想定外のことも考えて、社内でガイドラインを作成しましょう。

戻る


個人情報の取り扱いについて   /  有限会社テレビジネス