用語集

PDCA

 プライバシーマークやISMSを有効に機能させるためには、セキュリティポリシーの確立、導入、運用、監視、見直し、維持、改善の各フェーズをしっかりと自社内で実施する必要があります。

 Plan(計画)、Do(実施)、Check(点検)、Act(処置)の過程を何回も回しながら、より良いマネジメントシステムを構築します。

 決して、1~2回の実施だけで完成するものではありません。

 

個人情報のライフサイクル

 ある個人情報のを生成から廃棄までの様々なプロセスを言います。

 一般的に個人情報は、取得・入力して、その個人情報を利用したり加工したり、また、他の取引先へ移送したり・送信したりもします。さらに委託先に委託したり第三者へ提供もします。その間、保管をし万が一のためバックアップを行います。最後は保管期限の到来により消去・廃棄を行います・

 このような個人情報のライフサイクルの各イベントにおいて、脅威を洗い出し、その管理策・対処策を講じることが重要になります。

ISO27001/ISMSでの用語

ISO27001:2005で使用する主な単語は、次の通りです。

◆機密性(Confidentiality)

 アクセスを許可された人だけが情報にアクセスできること

◆完全性(Integrity)

 情報や処理が正確であること。欠落がないこと

◆可用性(Availability)

  アクセスを許可された人だけが、必要な時にアクセスできること

以上機密性、完全性、可用性をまとめて CIAと呼ばれることが多い。

◆情報セキュリティ

 情報の機密性、完全性、可用性を維持すること。他に、真正性、責任追跡性、否認防止性、信頼性などを含めても良い。

◆リスクアセスメント

 リスク分析からリスク評価までの全てのプロセスを言う。

◆残留リスク

 リスク対応をした後でもまだ残っているリスク。

◆適用宣言書

 その組織のISMSに関連して、適用する管理目的及び管理策を記述した文書。

営業秘密の強化

 経済産業省の「営業秘密管理指針」により企業の営業秘密の管理を強化できる。

 企業として守りたい情報が不正競争防止法によって、営業秘密として認められるには、

①秘密として管理されていること(秘密管理性)

②事業活動に有用な技術上または営業上の情報であること(有用性)

③公然と知られていないこと(非公知性)

が必要である。

特に、秘密管理性については、物的・技術的管理、人的・法的管理、組織的管理の情報セキュリティ対策が施されていることが望まれている

 

不正アクセス禁止法

 不正アクセス禁止法とは、正式名を「不正アクセス行為の禁止等に関する法律」といい、2000年2月13日に施行された。

 不正アクセスとは、アクセス権を持たない者がネットッワークを通じて、アクセス制御を回避する方法でアクセスする行為を言う。また、他人の識別記号や管理者や本人の許可なく第三者に教えた場合には不正アクセスの助長行為になる。

 対策としては、パスワード・ファイルの暗号化、パッチの適用、ログの有効活用などがある。

 

電子署名法

 電子署名法は、正式名を「電子署名及び認証業務に関する法律」といい、2001年4月1日から施行された。

 内容は、申請書や契約書における署名や実印と同等の効力を、電子署名(デジタル署名)に対し認められている。

 従来からの書面上での申請や契約書による取引だけでなく、電子商取引や電子申請など、電子データによる申請や契約が一般化してきたためである。

 

OECD8原則

経済開発協力機構(OECD:Organisation for Economic Co-operation and Development)が、1980年各国が満たすべき個人情報保護のレベルを一定にするためのガイドラインを制定した。

 この中で、「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」で個人情報の取扱いの8原則が制定された。

 OECD8原則は、

①収集制限の原則

②データな愛用の原則

③目的明確化の原則

④利用制限の原則

⑤安全管理の原則

⑥公開の原則

⑦個人参加の原則

⑧責任の原則

わが国の個人情報保護法は、このOECD8原則を参考に制定された。

 

日本情報処理開発協会

財団法人日本情報処理開発協会(Japan Information Processing Development Corporation: JIPDEC)は、プライバシーマーク制度の普及、情報セキュリティマネジメントイシステム(ISMS)の普及、ITサービスマネジメントシステム(ITSMS)の普及、電子書名・認証制度の普及、電子商取引の推進、情報化人材育成研修などを行っています。 

 特に、プライバシーマークの審査員の登録を行い、プライバシーマーク認定の審査を行っています。この数年、プライバシーマーク認定認定取得企業が大幅に増加し、審査員の確保・品質向上に力を注いでいる状況です。

Pーマーク開示対象個人情報

 JISQ15001:2006の要求事項3.4.4.1「個人情報に関する定義」に下記のように定義されています。

  「電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、事業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの。」

 つまり、アイウエオ順部署別・顧客別などに分類されたDBなど、ある個人情報を検索しようとした場合、すぐに検索できる状態にあり、開示、訂正、利用停止、消去などができる個人情報のことです。

  個人情報保護法での「保有個人データ」のうち、6ヶ月以内に消去することとなるものを含めて開示対象個人情報としています。

プライバシーマーク制度

プライバシーマークの認定制度とは、個人情報保護法の規定を包含する日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に基づいて(財)日本情報処理開発協会等の第三者認定機関が客観的に個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、プライバシーマークの使用を認める制度評価する制度です。認定への関心は高く、認定事業者数は8,107社(平成19年8月10日現在)にもなります。

▲ TOP