<< 掲示板・メルマガTOPへ
|
|
|
第1回:個人情報保護が企業に与えるインパクト
〜安全管理措置についての考え方
こんにちは、ISO総合研究所の藤原と申します。
http://www.isosoken.com/
「毎度!ISOニュースです」をご購読頂きまして有難うございます。
今日は、Scan 2003/10/23の記事からです。
どうぞ、ご覧下さい!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
■■■[ISMS]
■■■第1回:個人情報保護が企業に与えるインパクト
■■■ 〜安全管理措置についての考え方
この5月30日、個人情報保護法が成立し一部を除き即日施行された
。施行されなかった一部は、一定量の個人情報を検索できるようにして
事業に利用する個人情報取扱事業者が行わなければならない義務に関す
る部分である。その施行期日は、パブリックコメントに付された政令案
によれば平成17年4月1日である。
政令の趣旨はそれまでを個人情報保護法対応への準備期間とすること
にあるが、企業のリスク管理という観点からすると、そうした見方は楽
観的にすぎる。直ちに個人情報保護法に対応できる措置を講じる必要が
ある。
個人情報保護法の成立によって、個人情報取扱事業者にあたる企業が
コンプライアンスを欠くことによるリーガルリスク、経営のリスクは飛
躍的に高まっていると言って良い。なぜなら、もともと、違法な人格権
侵害に対しては損害賠償や差し止めが認められてきたところであり、こ
れに加えて個人情報保護法の成立過程における衆参両院の個人情報保護
特別委員会での議論は、個人情報が個人の人格に根ざす利益であること
を確認し、更に、自己情報コントロール権にもとづくというかどうかは
別として、「個人情報の保護」の具体的内容が、個人情報保護法の第4
章に規定されている義務の内容であることを明らかにした。その結果、
情報漏洩など個人情報の保護に欠ける取り扱いを民法上の不法行為とし
て損害賠償や差止請求の訴えを構成することが格段に容易になったから
である。
それゆえ、個人情報取扱事業者たる企業は今すぐ個人情報保護法によ
るリスクへの対応を開始すべきなのである。
この対応に必要な領域は二つある。一つは、個人情報保護法第20条
の「個人データの漏えい、滅失または棄損の防止その他の個人データの
安全管理のための必要かつ適切な措置」すなわち情報セキュリティ対策
、二つ目は、個人情報保護法に適合した情報システムの構築である。
個人情報保護法は、個人情報取扱事業者に何をなすべきか(What)
は示しているが、どのようにしてなすか(How)は示していない。情
報セキュリティを経営課題ととらえる立場から、個人情報保護法20条
の安全管理措置すなわち「個人データの安全管理のための必要かつ適切
な措置」を構築するにあたり実務上無視できない課題を概観し、情報セ
キュリティ対策の考え方を示すことにする。(詳細は、次回以降で論じ
る。)
課題1 情報セキュリティ対策で何を実現しようとするのか
情報セキュリティ対策を構築するにあたってまず考えるべきは、それ
によって何を実現しようとするのかである。その際、情報セキュリティ
対策が何を実現できるのか、具体的には、無事故という結果を実現でき
ないことを知ることが重要である。なぜなら、現実の事故は、想定され
ない脅威によって発生する。しかし、いかなる安全対策も、設計時に想
定されていない脅威に対してはその効力を発揮し得ないからである。
事故は起きる。このリアルな現実を体制構築の前提としないかぎり、
効果的で現実的な情報セキュリティ対策は実現できず、企業はコンプラ
イアンスの欠如によるリーガルリスクや経営上のリスクに曝され続ける
ことになる。
事故は起きる。これを前提とすると、合理的な情報セキュリティ対策
は、どこまでの脅威とリスクに、どれだけの経営リソースを用いて、ど
のようにして対処すべきかというリスクに対する経営戦略であり、それ
によって、実現しようとするのは、現実に維持されたセキュアな状態や
事故発生時の状況、経営への影響を精密に知り、将来に向けた的確な対
処であること、これによるリーガルリスクや経営上のリスクのコントロ
ールであることが明確になる。
セキュリティ対策は、事故の存在を前提とし、脅威とリスク、その経
営への影響、そしてこれに対する対処策を徹底的に洗い出した上で、経
営判断を加え、対策を選択評価して実施し、更に残されたリスクの内容
、程度を経営戦略上合理的だと判断できる限度に止めて経営を推進する
、そして社内の教育、監査を通じて不備を補い、更に精度の高いレベル
へと不断に底上げを図るという経営戦略の具体化でなければならない。
セキュリティ対策は、後ろ向きの事故防止策ではない。それは、リスク
という顧客を攻略するための積極的な営業展開と同様の論理枠組みを持
っているのである。
著者:稲垣隆一(株)SSIJ顧問。弁護士、ISMS主任審査員。日本弁護士
連合会コンピュータ委員会副委員長を務める傍ら、公務では警察庁総合
セキュリティ対策会議委員、経済産業省情報セキュリティ監査研究会委
員、総務省地方公共団体における情報セキュリティ監査の在り方に関す
る調査研究会委員、JIPDEC平成15年度システム監査基準検討WG委員とし
て活動。著書は「サイバースペースと法規制」、「情報ネットワークの
法律実務」、「個人情報保護と企業対応」等多数。
株式会社エス・エス・アイ・ジェイ
http://www.ssij.co.jp/
Scan 2003/10/23
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
こんな情報が来ると思ったとか、こんな情報が欲しいんだという、皆様
の意見を承っております。皆様のISOのお取り組みを、少しでもサポ
ートできれば幸いです。今後とも、ISO総研を宜しくお願い致します。
ISO総合研究所 藤原 将博
fujiwara@isosoken.com
----------------------------------------------------------------
■「ISO9000:2000 経営者・管理責任者向け 審査前チェックリスト」
http://www.isosoken.com/9001/c_shutokutyu/cl0920001.html
審査前のつよ〜い味方新発売!
審査前は、やはり心配ですね。事実を述べますが、審査員の質問は、
経営者への質問が多いのです。しかし、経営者は、ISO運営は担当
者に任せきりという会社が多く存在するのです。
この「審査員の質問」を事前に審査シュミレーションとしてCheck
できるのが、このツールです。
全41問で審査前の準備を万全にしましょう!
----------------------------------------------------------------
■ISO総合研究所
http://www.isosoken.com/
■有限会社 プリンスキー
http://www.prinsky.com/
■ちっこんなメルマガいらねーや(メルマガ解除)
http://www.mag2.com/m/0000068644.htm
----------------------------------------------------------------
|
|
|
ISO総合研究所企業情報へ
