ブログ 〔情報リテラシー研究会〕

 IT技術の進化に対応した、諸々のパソコン操作に関する記事を掲載してまいります。

広告

※このエリアは、60日間投稿が無い場合に表示されます。記事を投稿すると、表示されなくなります。

<153> 個人情報保護法のポイント 〔その3〕

2008年06月17日 | ◆個人情報保護

?
フランス7月革命を主題とした 『ドラクロア作:民衆を導く自由の女神』
女性の隣に立つマスケット銃を手にしたシルクハットの男性は、
ドラクロワ自身であると言われている。(ルーブル美術館蔵)


クリックすると拡大されます
 パリ:ルーブル美術館




■ 個人情報漏えい対策〔7つのポイント〕 

漏えいしないためにどんなことに気をつけるか!


(IPA: 独立行政法人情報処理推進機構) では『企業(組織)で働くあなたへ…7つのポイント』と題して、情報漏えい対策の注意点を掲載しております。中には、私たちが日常考えているような当たり前と思われる内容も含まれておりますが、情報漏えいの原因は、その「当たり前のことが守られないところにある」とも言えます。

IPAの『企業(企業)で働くあなたへ・・・7つのポイント』は企業人のみならず一般の方にとっても、多々参考になると思いますので、今回はこの中から主要な点を抜粋して掲載いたします。 また当然のこと、「個人情報」のみならずその他の「機密情報」なども同様に対処することが大切であることは言うまでもありません。







持ち出し禁止
   1. 企業(組織)の情報資産を、許可なく、持ち出さない


安易な放置禁止
   2.企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない


安易な廃棄禁止
   3. 企業(組織)の情報資産を、未対策のまま廃棄しない



不要な持ち込み禁止
   4. 私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、
      許可なく、企業(組織)に持ち込まない


鍵を掛け、貸し借り禁止
   5.個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない


公言禁止
   6.業務上知り得た情報を、許可なく、公言しない


まず報告
   7.情報漏えいを起こしたら、自分で判断せずに、まず報告






1. 企業(組織)の情報資産を、許可なく、持ち出さない。



自宅などで業務を行うために、勝手に企業 (組織 )のパソコンや、業務情報が格納された電子媒体あるいは書類を持ち帰ることは、情報漏えい防止のため一般的には禁止されております。
JNSA (NPO 日本ネットワークセキュリティ協会 )の調査によると、情報漏えいの原因は、盗難(25.8%)、紛失・置忘れ(42.1%)であり、これだけで全体の約70%を占めています。 情報資産を持ち出すことは、このような事故につながりかねません。


2. 企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない



【やってはいけない例】
・ 業務上大切な書類を机の上に放置したまま席を離れる、あるいは帰宅する。
・ 離れた場所にあるプリンタに出力した書類を、すぐに取りに行かない。
・ 起動中のパソコンを他の人が利用できる状態で席を離れる(パスワードロックしない)。
・ 移動可能なパソコン (ノートパソコン) を机の上に放置して帰宅する。
・ 大切な情報が格納された電子媒体や書類を、鍵のかかるキャビネットなどにしまわない。
・ 個人宛の伝言メモを誰でも見えるところにおく。


3. 企業(組織)の情報資産を、未対策のまま廃棄しない



企業(組織)内で業務に使用していたパソコンを、ハードディスクをきちんと消去しないまま廃棄し、そこから情報漏えいすることは、よく聞かれる話です。 同様に、業務情報を格納した電子媒体や書類を、安易にゴミ箱に捨てたために、情報漏えいしたと言うのもよく聞かれる話です。


最近は、パソコンのハードディスクの内容を完全に消去するサービスを行う企業もありますが、このようなサービスを受けたり、あるいはデータの抹消ソフトで消去するなど、企業 (組織) 内で廃棄のための手順や技術を確立する必要があります。


重要な書類や電子媒体を、一般ごみと一緒にゴミ箱にポイ捨てするなど言語道断と言うことです。 重要な書類であれば、管理者の管理下あるいは専門の業者で、細かく裁断するとか溶解処分することをお勧めします。 FD やCD/DVD の電子媒体の場合も、再利用が出来ないのであれば、裁断(破砕)してから処分することをお勧めします。



4. 私物(私用)の機器(パソコンや電子媒体)やプログラム等の
 データを、許可なく、企業(組織)に持ち込まない



【やってはいけない例】
・ 私物 (私有) のパソコンを持ち込んで、企業(組織)のネットワークに接続した。
・ 業務に必要のない情報 (データ) を、業務中に利用した。
・ 業務に必要のない私物 (私有) のプログラム (ソフト) を、業務中に利用した。
・ 業務に関係のないフリーウェアあるいはシェアウェアのプログラムを
 インターネットからダウンロードした。
・ 業務に関係のないWeb サイトを業務用のパソコンで閲覧した。
・ 業務で使用する電子メールアドレスを、私用で使用した。
・ 情報を格納することのできる USB メモリなどの外部記憶装置を持ち込んで、
 業務用のパソコンに接続した。


5. 個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない



情報資産を守るためには、利用者権限(アクセス権)を個別に与えることが必要です。つまり、利用者ID ごとに利用権限が決められていて、利用者ID はパスワードまたは個人認証で保護することになります。これらの利用者ID やパスワードを共有したり、貸し借りしたりすることは、情報セキュリティ上非常に大きな問題を引き起こす可能性があります。

業務の担当者を識別するために利用者ID とパスワードが設定されているのに、このパスワードを安易に貸し借りする行為は、愚かと言わざるをえません。 又、貸し借りはしなくとも、パスワードなどを忘れないように、パソコンに貼り付けておくなどの行為も言語道断です。

また、他の人に与えられた利用者ID およびパスワードを使用する行為は、「なりすまし」と呼ばれ不正アクセス禁止法 (不正アクセス行為の禁止等に関する法律) に抵触します。



6. 業務上知り得た情報を、許可なく、公言しない



業務上の情報を、意図的に、知らない人にベラベラしゃべる人はいないと思われますが・・・気の合う仲間と雑談している時に、何気なしに口にした情報を誰かが聞いているかも知れません。
又、ショルダーハッキングと呼ばれる行為がありますが、これはいわゆる肩越しに盗み見る行為のことを言います。  盗み聞きや盗み見など「壁に耳あり、障子に目あり」を忘れずに、と言うことです。


【やってはいけない例】
・ 居酒屋で・・・上司の悪口や仕事の話を大声でしゃべる。
・ 電車の中、携帯電話で仕事の話をする (マナー違反でもあります)。
・ 出張で、新幹線の中パソコンで仕事をする (持ち出しOK?)。
・ 会社の帰り道、電車の中で資料のレビューをする (持ち出しOK?)。
・ 不特定多数の人が集まる集合ビルの喫煙所で仕事をする。
・ 業務に関係のないブログや掲示板に、自己紹介のつもりで仕事の話をアップしてしまった。

数え上げるとキリがないようですが、これらの行為もセキュリティ上危険度の高いものであると言えます。悪意のある人はどこにいるかわかりません。 偶然聞いた情報や盗み見た情報から、大きな情報漏えいへと発展する危険性もあります。 自分が情報漏えい源にならないよう、このような行為は慎まなければなりません。

さらに、
・ 企業(組織)外からの電話・・・友人と称して、休みの人の連絡先やその人の仕事の内容を聞かれた。
・ システム管理者を名乗る人からの電話・・・利用者ID やパスワードを聞かれた。
・ 会員登録と称して、仕事の内容を事細かに入力させる登録画面。
のような、ソーシャルエンジニアリング手法を用いたアプローチがあるかも知れません。 『不注意でした』では済まされない情報漏えい、日ごろの心掛けが大切と言うことになります。





ソーシャルエンジニアリングとは

ネットワークの技術やコンピュータ技術を用いずに、人間の心理や社会の盲点を突いて、パスワードなどの機密情報を入手する方法。 例えば、言葉巧みにパスワードを聞き出す、廃棄物から重要な情報を読み取る、社員になりすまして盗み見や盗み聞きをする、など。
ソーシャルワーク、ソーシャルハッキング、ソーシャルクラッキングと呼ばれることもあります。


7. 情報漏えいを起こしたら、自分で判断せずに 「まず報告」

何らかの誤りで情報漏えいを起こしたり、あるいは情報漏えいを発見したりした場合は、自分で何とかしようとする前に、上司や管理者に報告して下さい。

情報セキュリティの用語では、情報漏えいなどのセキュリティ事故をインシデント、その対応をインシデントレスポンスと呼びます。 企業(組織)においては、インシデントの発生を想定し、あらかじめインシデントレスポンスについて十分な検討と訓練を行っておく必要があります。 漏えいした情報によっては、企業活動が滞ったり、企業 (組織) のブランドイメージを失墜させたりすることがあります。 当然、あなただけの問題ではなくなっていると言うことです。 すばやい対応が、問題を最小限に止めることができる可能性があるので、「まず報告」が重要であると言うことです。






インシデントとは

何らかの問題が発生し、この問題により重大な事故となる可能性がある場合の出来事のことを、一般的にインシデントと呼びます。情報漏えいに関して言えば、些細な情報漏えいでも、場合によっては、それが大きな問題(事故)の引き金になる可能性があると言うことです。


 

コメント

<152> 個人情報保護法のポイント 〔その2〕

2008年06月03日 | ◆個人情報保護

?シスレー作:洪水と小船 (パリ郊外のセーヌ川)




クリックすると拡大されます
 セーヌ川の写真



■「個人情報保護法」に定める主要な内容 ■




1. 利用目的の特定


個人情報を取り扱う際には、その利用目的を具体的に特定しなければならない。



【具体的に特定している例】
・ ご購入いただいた賞品の発送、並びに新商品に関するご案内の電子メール送信のために利用いたします。

【具体的に特定していない場合の例】
・ お客様へのサービスの向上のために利用いたします。
・ 当社の事業活動に利用いたします。


個人情報を関連会社や取引先などの第三者に提供することを目的としている場合は、それも特定しておく必要があります。

2. 目的外取扱の禁止
利用目的の範囲を超えて個人情報を取り扱ってはならない。
目的外の収集・利用・提供等には事前の本人同意が必要。


3. 適正な取得の義務づけ


個人情報を不正な手段で取得してはならない。また取得の際には、本人に対して利用目的を提示し了解を得なければならない。



・ 個人情報は本人から取得する。
・ 子供などの十分な判断能力のない第三者から個人情報を取得しない。
・ 不正取得された個人情報の売買を行っている名簿業者などから、個人情報を
  取得しない。


4. 利用目的を通知する

個人情報を取得する際には、あらかじめ利用目的を公表しておかなければならない。
あるいは、取得後すみやかに本人へ利用目的を通知しなければならない。
利用目的を変更する場合も同様である。


個人情報を「書面」で取得する場合には、取得の前に本人に明示しなければならない。
(個人情報を記入してもらう書面等に利用目的を記載し、本人の目に留まるようにしておかなければならない。)




〔アンケートにおける利用目的の公表の例〕

=個人情報の取り扱いについて=
弊社では、アンケートにご回答いただくにあたり、ご提供いただきましたご回答者様の住所・氏名・電話番号及びe-mailアドレスなどの特定個人を識別できる情報(以下「個人情報」といいます)について、以下に記載の目的のために利用させていただいております。

1.アンケート等の結果の分析のため
2.アンケートに対する謝礼等をお送りするため
3.弊社の新製品情報等をお送りするため
なお、個人情報のその他取扱等につきましては、弊社の 個人情報の取扱いに関するポリシー をご覧ください。


5. 内容の正確性の確保

取得した個人情報は、利用目的の達成に必要な範囲内で、常に正確かつ最新の内容を保つよう努めなければならない。


6.?安全管理義務

個人データは漏洩・滅失・棄損等がないよう、安全管理のための必要適切な措置をとらねばならない。 又従業員やデータ作業の委託先(アウトソーシング)などに対しても、そのための適切な監督を行わなければならない。




【安全管理】
・?個人情報へのアクセス権の設定などを行い、担当者以外は閲覧できないなど、厳重に管理する。
・ 個人情報を保管しているロッカー・引き出しなどの施錠管理を行う。
・ 外部に持ち出す機材などの個人情報データには、暗号化を施す。


【廃棄処理】
・ 個人情報が記載されている書類を廃棄する際は、シュレッダーにかけたり溶解処分したりする。
・ 個人情報を格納しているパソコンや外部記憶媒体を、物理的に破壊する。
  または、専用のデータ抹消ソフトを利用して処理する。


7. 第三者への提供の制限

本人の了解なしに個人情報を第三者に提供してならない。

・ 個人情報を第三者に提供する場合は、提供先での利用目的を明確にした上で、個人情報提供者に通知し同意を得なければならない。

8. データの本人への開示・訂正


個人情報の本人は、(開示・訂正・利用停止等)を求めることができる。 事業者はこれらに対する必要な手続き方法等を、公表しておかなければならない。 また、本人からデータ内容を訂正するよう求められたら、必要な調査をしすみやかに訂正処理を行わなければならない。

・本人からの問い合わせに対して、迅速に対応できるよう必要なWebページなどには「問合せ先」を明記しておく。
・?問い合わせの際に、本人かどうかの確認方法を決めておく。
(免許証や身分証明書の提示、IDとパスワードによる本人確認など)


9.利用停止等の請求権

利用目的を超えて使用したり、本人の同意なしに第三者に提供したり、あるいは不正な手段で取得された個人情報については、本人からその利用停止や消去を求めることができる。 事業者はすみやかに、これに対処しなければならない。



10.苦情の処理

個人情報の取扱いに関する苦情は、適切・迅速に処理するように努めなければならない。



11.主務大臣の事業者に対する勧告・命令

個人情報保護法に関して違反があった場合、主務大臣は当該違反行為の中止や必要な措置を命令することが出来る。 又、これらの命令に応じないときには、6ヶ月以下の懲役または30万円以下の罰金に処せられる。



※ 個人情報保護士認定試験 http://www.joho-gakushu.or.jp/piip/piip.html 
(財団法人:全日本情報学習振興協会)

コメント

<151> 個人情報保護法のポイント 〔その1〕

2008年05月27日 | ◆個人情報保護


カミーユ・ピサロ作「モンマルトル大通」・・・クリックすると大きく拡大されます


クリックすると拡大されます
モンマルトルの丘(写真)


■ 個人情報保護法とはどんな法律か

2005年に個人情報保護法が施工されて3年を経過しましたが、個人情報漏洩事件は後を絶ちません。私達の日常は情報流出の危険にさらされています。今回は危険がいっぱいの情報社会をより安全に生活していくために、今一度「個人情報保護法」とはどんな法律なのかを振り返ってみたいと思います。 特に日常パソコンを取り扱う人にとっては、セキュリティ対策の重要項目の一つとして意識しておかなければならない法律と言えるでしょう。 今回のブログが、企業並びに個人における個人情報保護意識の高揚のみならず、 <個人情報保護士認定試験> の受験対策の一助としてもご参考いただければ望外の喜びです。 ※ 個人情報保護士認定試験 http://www.joho-gakushu.or.jp/piip/piip.html (財団法人:全日本情報学習振興協会)





=概要=



近年、情報漏えい事件が後を絶ちません。情報処理技術の発達により、その蓄積、流通、加工などを簡単に行うことが出来るようになり、又インターネットの普及により、その情報が瞬時に世界中をも駆け巡るといった状況が現代社会であります。

コンピュータに蓄積された個人情報の大量漏えい事件の多発。ネットを介した個人情報の無断収集やそれらの公開による人権侵害などITの進化にともない、個人情報を取り巻く状況は、急速に変化しています。 

又、本人が予想しなかった目的のために個人情報が使用されるなどという事態も発生しています。 こうした状況を背景に2005年4月個人情報保護法の制定がなされました。

さらに個人情報保護法施行後、一般の人々の間にも個人情報に対して、強い関心が寄せられるようになりました。個人情報取扱事業者に該当しない小規模事業者でも、一旦情報漏えいが発生すると、社会的制裁を免れることは出来ない状況となっております。


■ 個人情報保護法とは

個人情報保護法とは、個人の権利と利益を保護する為に個人情報を取得し取り扱っている事業者に対し、様々な義務と対応を定めた法律です。2005年4月より全面施行されました。

この法は、本人である個人の権利を定める法律ではなく、企業が守らなければならない義務を定め、それに違反した場合には行政機関が処分を行なうという性格のものです。

事業者は、この法律により、 個人情報の利用目的の特定および制限、 個人情報の適切な取得ならびに取得に際しての利用目的の通知または公表、 個人情報の安全管理、 個人情報を第三者へ提供する際の制限など、各種の義務を果たさなければなりません。違反すると行政処分を下され、さらに主務大臣の命令に反した場合には罰則が科せられることになります。


■ 個人情報とは

個人情報とは、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別できる情報を言います。

(当該情報だけでは識別できないが、他の情報と容易に照合することが出来、それによって当該個人を識別できる情報も含みます。


〔個人情報の例〕

名前   住所   電話・ファクス番号   顔写真  音声  

銀行口座番号   クレジットカード情報   eメールアドレス   

会員ID・パスワード


■ 個人情報の所有者

言うまでも無く、個人が個人情報を所有しています個人情報を使用する組織に対しては、個人が同意した上で使用権を与えているに過ぎません。


■ 「個人情報保護法」の適用対象

個人情報保護法とは、営利・非営利を問わず、個人情報を継続的に取得し取扱っている個人情報取扱事業者に対して、様々な義務と対応を定めた法律です。 (又、過去6ヶ月以内に個人データを、一度でも5千件を超えて取り扱ったことのある事業者が対象となります。)

個人情報保護法の対象事業者の範疇に入らない場合でも、個人情報漏洩により他に損害を与えた場合は、損害賠償責任が発生することは云うまでもありません。その上、個人情報漏洩により企業としての事業継続に、多大な影響を及ぼすような事態に発展することも、あり得る事を認識しておかなければなりません。

(又、小規模事業者と雖も、顧客情報・取引先情報など累積的には5千件を超えるケースはかなり多いと考えられます。)

罰則については違反行為をした従業員並びにその事業者が処罰(両罰規定)の対象となります。(例えば、ある社員が個人情報を持ち出し不正に利用した場合、その社員のみならず当該企業も処罰の対象になります。)



【次回は「個人情報保護法に定める主要な内容」について掲載いたします。】

コメント