2/6/2009
情報セキュリティの日に関連した活動として CHECK PC! サイトが立ち上がっています。
(Microsoft のサイトではありません)
さて、このサイト、どこが作ったのかと見ていくと・・
ぜひ、皆さんもこのサイトで Check PC してください。
事務局長 久保田
1/16/2009
弊社では Corportate Function と呼んだりしていますが、いわゆる間接部門についてです。
経理、財務、人事、総務、購買、法務などがそれに当たると思いますが、これらに加えて IT 部門、セキュリティ部門などがあります。企業によって組織が違うので一概には言えませんが、全て総務が担当していたりする場合もあるかと思います。弊社の場合は、これらに加えて、IT 部門、セキュリティ担当部署とプライバシー担当部署(私が所属) が存在します。
企業の規模が大きくなればなるほど、専業化が進み、縦割りな組織構造となっていきます。専門性をもったプロフェッショナルが増えることは能力の向上という点では良いかもしれませんが、それが逆に部分最適に陥ってしまうことさえあります。
企業における個人情報保護の活動は、自らの事業形態を正しく把握し、従業者/顧客/取引先等の "個人情報ステークホルダー" を適切に選別し、順法に企業活動が進むことを推進もしくは調整していく仕事です。
法令を理解するだけでは仕事にならず、自らの企業におけるすべての活動 (特に間接部門の業務) をなるべく事細かに把握して、その改善をすることが要求されます。
「個人情報保護のため」といっても、なかなか社内改善は進まないというのが実情だと思います。それは個人情報保護法の理解不足ということにも繋がっているのですが、それをブレークダウンした各省庁のガイドラインを押さえることが先決です。
[各省庁ガイドライン]
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html
よくある誤解としては、「流出したのは社員の情報であり、顧客の情報ではありません。ご安心ください。」というものです。保護法における (5001件以上の) 個人情報の範囲は、その区別を設けておらず、無論、自社の社員(現役、退職者、就職応募者含む) も含まれています。そしてもちろん、厚生労働省が定めているガイドラインにも従う必要があります。昨今のビジネス状況では業務委託の形態が増えていますが、例えばこの厚生労働省のガイドラインでは、「個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。」と定められています。社員の情報だから、あまり考慮しなくても良いということにはならないのです。
さて、「Corporate Function に求められる社内協業」 と題した意味合いなのですが、間接部門の業務がいわゆる聖域となり、お互いの部門の業務が不可侵となるようであれば、社内の業務把握はままならず、改善も進みません。間接部門は、特に自らの業務を守ろうとする傾向が出やすい部門ですので、"法令(ガイドラインも含む)" という錦の御旗でもって横串を刺すことも必要となります。そしてそれを、可能な限り透明化させる。透明化させるには IT の導入が有効策です。(IT 導入に伴うプロセスの洗い出しと、その文書化が適切になされればですが) そして、その業務結果を経営視点で見て活用することにより、ようやく PDCA サイクルを完結させる基礎が作られます。
そのための第一歩である、間接部門間での協業がどのぐらいなされているのか?お互いのブラックボックスは無いか?ということが、改善への指標となります。
事務局長 久保田
1/15/2009
徹底したオペレーションの見直しが先決ですが、案外、今使っている IT アプリケーションを使いこなしていないがために改善策が見えてこないということもあります。また、少しの投資で大きな効果を得る - 特にマネージメント視点で考えると、マイクロマネージメントには人的、金銭的な限界がありますので、どこに、どのように投資するのかの判断が必要となります。
自社のみならず、委託先との関係も見据えての業務改善、ひいては日本全体の改善につながれば良いですね。
Microsoft Office system で情報漏えい対策キャンペーン - トップ | マイクロソフト
事務局長 久保田
1/7/2009
不正競争防止法における営業秘密に関しての刑事的措置のパブリックコメント(意見募集) がなされています。
2008/12/17 - 2009/1/30 とのことです。
詳細は、以下のページをご参照ください。
| 産業構造審議会知的財産政策部会 技術情報の保護等の在り方に関する小委員会「営業秘密に係る刑事的措置の見直しの方向性について(案)」に関する意見の募集について 意見募集中案件詳細 |
訴訟による情報公開での営業損失という矛盾を是正していくというのが今回の主旨のようです。
確かに、昨今の判例は (全てでは無いものの) 電子化され、インターネット上でも公開されている (http://www.courts.go.jp/) ため、その中の判例検索で 「営業秘密」 と検索すると数多くヒットします。
私も特異な事件の判例は読んで、社内研修の際のヒントとして役立てています。
事務局長 久保田
1/5/2009
2009/1/5 本日より始業しております。
皆様のお正月休みはいかがでしたでしょうか?
私は、お正月は例年、年が明けたら家の近くの神社に行き、ひと眠りして 江の島神社-寒川神社 のはしごをするというコースで初詣に行っています。今年も色々神頼みです。
さて、年明け早々に私有 PC での情報漏洩のニュースが報道されています。
管理者の視点で考えると、非常に複雑な心境となる問題です。
私有、自宅使用で、業務利用は一切無し。漏えいデータは個人に帰属する情報。
現状、ほとんどの企業・団体が人事規則やセキュリティポリシーが存在し、教育も行っていると思います。しかしそれは、あくまで法人に属している場合に有効となるものであり、私人への絶対的な有効性を担保しているものではありません。ただし、私人としての個人が何らかの行為により、その所属する法人に対する風評被害が発生した場合、法人は個人に対し何らかの (賠償も含めた) 責任を追求することができると思われます。
今回の事案については、現時点で公式発表されている情報が少ないため、その解釈、顛末などについて情報公開されるのを待つしかありません。
こういう状況は、どの企業でも抱えている問題・リスクで、誰しも分かっていることではあります。
単純に規則もしくは法令を厳しくすることでは解決できません。社会を構成する全員が自主的に取り組むことでしか解決できません。そして、そのための方向性を指し示す事が重要で、そのためのリーダーが熱望される時代かもしれません。
今年も難しい 1 年となりそうです。
事務局長 久保田
12/29/2008
本日 (12/29) が今年の仕事納めとなります。さすがに今日は休みを取っている人が多く、オフィス内も少々閑散としています。そういえば通勤電車も空いてました。来年は 1/5 から業務スタートです。
先週、JISA によるセミナー 「個人情報の取扱いに関する事故の傾向と対策」 に行ってきました。各種データは各機関から公表されていますが、結果として出ているものは "紛失系" が多いです。確かに、いろいろな紛失は多いのだと思いますが、本当は、"不適切な利用" の方が多いのではないかと考えています。
紛失は、誰がどう考えても "漏えい・滅失・棄損" に直結するので、分かりやすいのですが、
"不適切な利用" となると、"適切な利用" が何たるかを理解していないと、不適切に該当するのかどうか分かりません。本当に厳しくチェックしたら、たぶん、もっと出てくるのではなかろうかと思います。 "漏えい" じゃないから、ちょっとぐらいはみ出しても良いのでは?と考えがちですが、その "ちょっとぐらい" の幅が個人の裁量となるため、基準が無く、結局、緩い方へと流されてしまう というのが人間の弱いところです。
多くの個人情報を預かる大企業が緩んでしまうと、その子会社、取引先、業務委託先、社員の家族、等々に伝播し、最終的には一消費者である自身に降りかかってきます。気を引き締めて業務にあたりましょう。
残念ながら、2008 年も個人情報関連の事故の話題が尽きることがありませんでした。企業の一担当者としては、全てのニュースが他人事ではないため、気が休まることがありませんでした。しかし、全ての人がちょっとずつ、ほんのちょっとずつの気配りをするだけで、解決できることだと思っています。そういった正しい輪を広げていければと思っています。
事務局長 久保田
12/2/2008
経済産業省により、該当法令の通達が発行されました。迷惑メールについても言及されています。
詳細は、以下の経産省のページをご参照ください。
「特定商取引に関する法律等の施行について」の一部改正について(METI/経済産業省)
今回の通達による、広告メールの項目は先般の "特定電子メール法" との齟齬をなくすための改正と考えてよいでしょう。Opt-in (事前同意) が必須であり、同意/承諾の手段においても消費者の錯誤や誤認が無い形にすることを義務付けています。
(改正後: 抜粋)
 |
また、
電子メール広告をすることの承認・請求の取得等に係る 「容易に認識できるよう表示していないこと」に係るガイドライン が 別添 4 として同時に公開されました。 Web のデザインにおけるガイドラインを文字で説明しようとしているため、とっつきにくさはあるのですが、読めば分かるようになっています。
このガイドラインにおける "姉妹サイト" の項目を読んでいて気がついたのですが、消費者が電子メール広告に承諾するのは、その "(Web) サイト" であり、そのサイトを運営する "企業" という書き方にはなっていないということです。(姉妹サイトについても、どこかで定義されているように思うのですが、今のところ発見できていません。)
[その他参考]
特定商取引法事務局長 久保田
11/28/2008
めっきり寒くなってきました。そろそろ年賀状をどうしようかと考える季節となってきました。
パソコンを使って(専用ソフトやオフィス製品などで) 年賀状作成される方も増えてきていると思いますし、電子メールで送付という方も増えてきているのではないでしょうか?
ここで忘れてはいけないのは、電子メールも個人情報であるということです。(経済産業省ガイドラインより)
ついついやってしまいがちなのが、宛先(To) に自分の知り合いをすべて入れて、そのまま送ってしまうということです。これは To Line に入った人同士が全て知己であれば問題ありませんが、そうではない場合、いわゆる不適切な開示ということで個人情報の漏えいになります。
これを避けるためには、1通づつの送信が必要となりますが、数が多くなると大変ですし、つい一斉送信したくなります。そんなときに便利なのが、Word の差し込み印刷機能を用いた電子メール送信です。
詳細は、Microsoft Word のヘルプを参照していただければ、詳しい手順が記載されています。ここでは、その中から一部抜粋します。
| 差し込み印刷を使用して個人用の電子メール メッセージを電子メールのアドレス一覧に送信する 
電子メール メッセージのメイン文書を設定する - Word を起動します。
既定では空の文書が開きます。この文書は開いたままにしておきます。この文書を閉じると、次の手順のコマンドを使用できません。 - [差し込み文書] タブの [差し込み印刷の開始] で [差し込み印刷の開始] をクリックします。
- [電子メール メッセージ] をクリックします。
データ ファイルを選択する - [差し込み文書] タブの [差し込み印刷の開始] で [宛先の選択] をクリックします。
- 次のいずれかの操作を行います。
- Outlook の連絡先リストを使用する場合は、[Outlook の連絡先から選択] をクリックします。
- Microsoft Office Excel ワークシート、Microsoft Office Access データベース、またはその他の種類のデータ ファイルがある場合は、[既存のリストを使用] をクリックし、[データ ファイルの選択] ダイアログ ボックスでファイルを指定します。 |
事務局長 久保田
11/21/2008
先週発表された特定電子メール法の改正に伴う新しいガイドラインです。
詳細は、以下のリンク先のページをご参照ください。
総務省(報道資料)
いくつかポイントをピックアップします。
1. 同意
(原則)
ア)通常の人間であれば広告・宣伝メールの送信が行われることが認識されるような形で説明等が行われていること
イ)賛成の意思表示があったと言えること
(同意取得時に表示すべき事項及びその表示方法)
しかし、例えば、電子メールアドレスの登録時に、契約を申し込むサービスの約款や利用規約に同意の通知の相手方の名称及び特定電子メールを送信する旨の記載があっても、極めて小さい文字で下部に記載されている場合などのように、通常の受信者であればそれに気付くとは考えにくい場合などは、受信者が認識できるように表示されているとはいえないものである。
(デフォルトオン/オフ)
ただし、デフォルトオンと比較して、デフォルトオフの方が、受信者の意思がより明確に表示されることになるのは確かであり、サービスの内容等にもよるが、その実施が可能な場合には、デフォルトオフによることが推奨される。 |
特定電子メール法は、いわゆる迷惑メールをなくしていくための企業側に課せられる義務事項を定めたものです。しかしながら、消費者の側からも法令を理解し、企業の施策をチェックしていく必要があります。
上でピックアップした同意に関する項目は、法令を細かく読まなくても常識レベルでも判断できるポイントではないでしょうか?何事も冷静に判断することが肝心です。
事務局長 久保田
11/13/2008
「高度な暗号化による秘匿化」 という少々難解な言い回しですが、個人情報保護の分野においては有名なフレーズです。
これは何かといいますと、個人情報保護に関する経済産業分野ガイドライン (経済産業省ガイドライン) に出てくるフレーズで、この要件を満たしていれば、仮に事故、つまり電子ファイルが漏えいしても、2次的な実害が発生しないため、そのファイル内に含まれている個人情報の本人に通知しなくても良いという解釈の話です。
そして、高度な暗号化とは、具体的にどのレベルなのだろうかということになりますが、経産省が特に指示をしている訳ではないため、内閣府の発行の文書を参考するということになります。
それが、以下の電子政府推奨暗号リストです。
http://www.cryptrec.go.jp/images/cryptrec_01.pdf
ただ、必ずしもこれだけではないので、その点も理解の上ということになります。
事務局長 久保田
11/12/2008
個人情報保護法および解釈となる経済産業省ガイドラインにおいて委託先の監督について明記しています。
経済産業省ガイドラインは、毎年改定されており、平成20年度においては特に委託先の監督強化を求めています。
以下、おさらいの意味で条文のコピーです。
個人情報保護法から抜粋
2-2-3-4.委託先の監督(法第22条関連)
法第22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
| 経済産業省ガイドラインからの抜粋
【委託を受けた者に対して必要かつ適切な監督を行っていない場合】
事例1)
個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した場合で、委託先が個人データを漏えいした場合
事例2)
個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せず、結果、委託先が個人データを漏えいした場合
事例3)
再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合
事例4)
契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わなかった結果、委託元の認知しない再委託が行われ、その再委託先が個人データを漏えいした場合 |
これらの法令で言わんとすることは、すなわち、委託元に大きな責任が生じるということです。いわゆる丸投げ体質では達成できませんが、あまりにマイクロマネージメントとなるのもコストに見合いません。システマティックで効率的に対応できる組織体となる必要があります。そこが難しい箇所ではありますが、それこそが Vendor Management のスキルが問われる部分であり、インフォメーションワーカー(デスクワーカー、ホワイトカラー) の生産性が試されるところです。
事務局長 久保田
10/27/2008
このようなニュース報道を見るたびに、個人情報の "重さ" について再考させられます。
個人情報保護法や各省庁ガイドライン、その他法令等ありますが、法律云々の話ではなく、やはり、"個人" に対する配慮の無さ、想像の無さが招いた事件であろうと考えています。つまり、モラルの問題であり、法律や会社の規則に依存する前段階の話であろうと。
いずれにせよ、適切な改善措置が必要です。
明治安田生命、ウィニー感染で採用試験応募者の個人情報流出 - MSN産経ニュース
事務局長 久保田
Tools 
