個人情報流出対策をしたい
中小企業において、個人情報保護対策は結構悩みどころです。実施しなくても直接的な実害はありませんが、目に見えないリスクは日々積み重なっていき、気づいた時には大規模な対策を必要とされる状況になる、もしくは公開されていないが、流出していて、顧客から指摘されるなんてこともあります。場合によっては状況がよく把握できない状態で、取引が知らないうちに少なくっているなんてことも。そんなことにならないようにするためにも、最低限の対策を日々心がけていたいものです。
個人情報の抽出
まずは、組織内(社内)でどのような個人情報を扱っているかを把握することが重要です。雇用情報、取引先の個人情報を確認しましょう。紙媒体と電子媒体に分けて抽出するとその後の対策がしやすいと思います。
紙媒体上の個人情報漏洩対策
紙媒体の個人情報は、例えば履歴書などが挙げられます。漏洩対策の基本は保管、移動、使用の管理方法を明確化しておくことです。つまり、入手した履歴書をどこに保管し、これを移動(取り出し)する際はどのようなな手順で行い、使用(複写)する際はどのようなルールにするか定めておくことです。
電子媒体上の個人情報漏洩対策
電子媒体は保管、移動、使用(複製)が非常に容易なため、物理的対策と電子的対策に分けて考える必要があります。
物理的対策とは、個人情報が含まれる電子媒体そのものの保管、移動、使用(複製)に関するルール作りをすること、さらに、これらが保管されている部屋への入退室のルールを決めることまでも含まれる。
また、電子的対策も基本的な考え方は同様でるが、バーチャル環境は肉眼で見えにくいぶん厄介である。
@保管をどうするか
個人情報が含まれる電子ファイルをどのハードディスク(記録媒体)に保管するかを考える必要があります。誰でもアクセスできるような保管場所はもちろんNGです。最も確実なのはネットワークから遮断された場所ですが、これでは使い勝手が悪くて仕方ありません。以降の使用方法とのバランスにより決めるのもよろしいかと思います。使い勝手を優先するか、セキュリティを優先するかは保管される個人情報にもよります。これらのバランスを考えて設定するのがよろしいと思います。
A移動をどうするか
保管場所を決めたら、移動制限をかけるひつようがあります。電子ファイルでは、ファイルそのもののコピーや移動の制限をかけられますので、どのような場合に移動していいか、移動の場合はどの手順で行うか設定する必要があります。
B使用(複製)をどうするか
個人情報が含まれる電子ファイルの利用、複製に関しても、適切なルールを定めて、実施できるようにする必要があります。例えば、個人情報が含まれるデータベースにアクセスできる人間を制限し、アカウント単位でパスワード制限を行ったり、ファイルそのもののに共通パスワードをかけ、使用する際にはそのパスワードを入力する必要があるようにするなどが挙げられます。また、複製をできないようにしたり、外部メディアに保管できないようにすることも有効な手法となります。
教育について
実は上記に挙げた物理的、電子的対策だけでは対策はかなり不十分です。システムやルールは熟知した人間であればその穴を付かれてしまいますし、形骸化していきます。長期的に対策をするにはやはり教育は欠かせません。そのため、漏洩したらどのような事態になるのかなど、実例を日々学んでいき、予防対策を行う必要があります。
保険について
識別情報と匿名化された符合の対応表を残さない方法。
それでも漏洩してしまうのが個人情報。そのため、様々な保険会社から、中小企業向けの個人情報漏洩に関する賠償責任保険がございますので、ぜひ検討していただくのがよろしいかと思います。
3、識別情報匿名化処理の技法(匿名化の例)
>連結可能匿名化
識別情報と匿名化された符合の対応表を残す方法。
>連結不可能匿名化
識別情報と匿名化された符合の対応表を残さない方法。
>具体的方法
- 識別情報の削除
- 匿名データの再ソート(配列順の並べ替え)
- 識別情報のトップ(ボトム)・コーディング
- 識別情報のグルーピング(リコーディング)
- リサンプリング
- スワッピング
- 誤差の導入 等
これらの単独、または組み合わせにより匿名化を行う。
4、属性情報の削除加減
厚生労働省から、「安全に匿名化等がされた状態について」の記載があるように、対象となる標本(取得した個人情報等)の内容、個人情報の利用用途により、どの程度削除すれば安全なのかは一律には決められないが、各種の名簿等の他で入手できる情報と組 み合わせることにより、その人を識別できる場合には、組合せに必要な情報の全部または一部をさらに取り除く必要があると解釈するべきであろう。
【個人情報管理の実務対策におすすめ!】 マイナンバー制度と個人情報保護対策の実務