経済産業省はこのほど、ベネッセコーポレーションの個人情報漏えい事案の発生を受けて、個人情報保護法などの遵守について周知徹底を行うよう、経済産業大臣名による要請文を日本商工会議所など経済5団体に対して8月18日付で発出した。日商では、各地商工会議所に対し、管内の個人情報取扱事業者(過去6カ月間連続して5千人を超える個人データを持つ事業者)向けに、①社内の安全管理措置、②委託先およびその先に関与する事業者の監督、③外部からの適正な個人情報の取得(偽りその他の不正の手段により取得された個人情報について、取引自粛を含む慎重な対応を取ること)、を含めた個人情報保護法の遵守について、周知徹底を要請している。特集では、経産省からの要請と独立行政法人情報処理推進機構(IPA)が示している組織の内部関係者の不正行為による情報漏えい防止に向けたセキュリティ対策について紹介する。

個人情報保護法等の遵守に関する周知徹底についての要請　(茂木経産相から日商・三村会頭宛の要請文<平成26年8月18日付>)

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報保護法に基づき、個人情報を取り扱う全ての事業者にとっての極めて重要な義務として、その適正な取り扱いが求められてきました。国民の信頼を得て事業を行うためにも、個人情報保護法を遵守し、万全な対応を取る責任を有していることは言うまでもありません。

今般、教育関係事業者において、子供の情報を含む極めて多数の個人情報が漏えいするという事案が発生し、多くの保護者や国民に不安を与えていることは誠に遺憾です。経済産業省としては、今般の事案を踏まえ、個人情報の取り扱いをめぐる問題の再発防止に向けて、個人情報保護の重要性と事業者が講ずるべき具体的な措置についての周知徹底に一層取り組むこととしております。

産業界の個人情報保護の取り組みの向上に向けて、経済産業省としては、経済産業分野の事業者および業界団体などにおける個人情報保護のための円滑な取り組みを促す観点から、個人情報保護法で規定された事業者の義務規定をより具体化・詳細化した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を策定しております。また、個人情報を含む営業秘密については、企業における営業秘密の管理強化に資するよう、「営業秘密管理指針」を公表しております。この他、独立行政法人情報処理推進機構(IPA)では、個人情報や技術情報などの重要情報について、特に組織の内部関係者の不正行為による情報漏えいを防止するため、「組織における内部不正防止ガイドライン」を策定しております。

つきましては、貴団体におかれましては、会員各社に対し、別紙により、社内の安全管理措置、委託先およびその先に関与する事業者の監督、外部からの適正な個人情報の取得を含めた個人情報保護法の遵守に関し、現場担当者に止まらず、社内全体、委託先事業者などに、万全を期することについて、周知徹底を図っていただくよう要請いたします。

別紙

下記1、2に基づき、貴社および委託先などの事業者における個人情報の適正な取り扱いに万全を期するとともに、以下の点について、特段の注意を払うこと。

○経営者が率先して、自社内における個人情報の監理体制を構築し、役員クラスの責任者への任命や、個人情報を取り扱う専門部署の設置など、十分な措置を講じること。

○委託先の安全管理措置の実施が十分かを確認すること。また、委託先が再委託先をする場合には、事前に承認を求めるようにするとともに、再委託先による安全管理措置の実施が十分かを確認すること。再々委託先以降についても同様の扱いとすること。

○第三者から個人情報を取得する場合には、当該情報について、その入手方法などを確認すること。適法に入手されていることが確認できないときには、偽りその他不正の手段により取得されたものである可能性もあることから、取引の自粛を含め、慎重に対応すること。

1.個人情報保護法に基づく個人情報取り扱い事業者の守るべきルールの徹底

個人情報の適正な取り扱いを行うべく、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に沿った点検を行う。その際、例えば、以下のような項目について、十分チェックを行う。

○個人情報の利用目的の特定(法第15条)、目的外の利用禁止(法第16条)

個人情報を取り扱うに当たっては、利用目的を出来るだけ特定しなければならない。また、特定された利用の目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。

○適正な取得(法第17条)

偽りその他不正な手段によって個人情報を取得してはならない

○取得時の利用目的の通知等(法第18条)

個人情報を取得したときは、本人に速やかに利用目的を通知または公表しなければならない。また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければならない。

○個人データ内容の正確性の確保(法第19条)

利用目的の範囲内で、個人データを正確かつ最新の内容に保つよう努めなければならない。

◆具体的な措置例・個人データ入力時の照合

・確認手続きの整備

・記録事項の更新

・保存期間の設定

など

○安全管理措置(法第20条)

個人データの漏えいや滅失を防ぐため、必要かつ適切な安全管理措置を講じなければならない。

◆具体的な措置例

・セキュリティ確保のためのシステム・機器などの整備

・事業者内部の責任体制の確保(個人情報保護管理者の設置、内部関係者のアクセス管理など)

など

○従業者・委託先の監督(法第21‐22条)

安全に個人データを管理するために、従業者に対し必要かつ適切な監督を行わなければならない。また、個人データの取り扱いについて委託する場合には、委託先に対し必要かつ適切な監督を行わなければならない。

◆具体的な措置例

・個人情報保護意識の徹底のための教育研修などの実施

・個人情報保護措置の委託契約内容への明記

・再委託の際の監督責任の明確化

など

◆従業者とは、正社員のみならず、役員、契約社員、アルバイトなども含む。

◆委託元での安全管理措置(法第20条)と同等の措置が委託先でも講じられるような監督が求められる。

◆再委託の場合、委託先が適正な再委託先を選定しているか、委託先が再委託先に対して十分な監督を行っているかなど、委託元は把握し、適切な指導をする必要がある。

2.内部関係者の不正行為による情報漏えいを防止するセキュリティ対策の徹底

内部不正による情報漏えいを防止するための適切なセキュリティ対策を講じるべく、独立行政法人情報処理推進機構(IPA)が策定した「組織における内部不正防止ガイドライン」に沿った点検を行う。その際、チェックシートの活用とともに、例えば以下の項目について、十分チェックを行う。なお、個人情報を含む営業秘密の漏えいに関しては、「営業秘密管理指針」において、不正競争防止法の営業秘密として保護を受けるために望ましい管理方法などが示されているので、営業秘密についてはこちらに沿った点検も行う。

○アクセス権指定

重要な情報が補完されているファイルやデータベースについて、適切なアクセス権限を付与すること。

○物理的管理

重要な情報が補完されているファイルやデータベースについて、情報の持ち出し・可搬媒体などの持ち込みの監視を行うこと。

○証拠確保

重要な情報が補完されているファイルやデータベースについて、定期的な操作履歴の監視・監査を行うこと。

組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!【平成26年7月10日　独立行政法人情報処理推進機構】

独立行政法人情報処理推進機構(IPA)では、ベネッセコーポレーションの個人情報漏えい事件の報道のあった翌日に、情報漏えい防止に向けた企業向けのセキュリティ対策の検討や点検を改めて呼び掛けている。以下は、その抜粋を紹介する。

(1)内部不正を防止するための現状把握と対策の検討

IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、2013年3月に「組織における内部不正防止ガイドライン」(以下、ガイドライン)を策定し、公開しています。ガイドラインでは基本方針や技術的管理、人的管理、物理的管理など10の観点から30の対策項目を示しています。

ガイドラインを効果的に活用するには、最初にチェックシートで対策の現状を把握し、次に、その結果を基に必要な対策項目を検討します。具体的な実施策の検討には、各対策に必要な製品、ソリューションが紹介された、日本ネットワークセキュリティ協会(JNSA)の「内部不正対策ソリューションガイド」が参考になります。

(2)内部不正が発生する仕組み

専門家によれば、不正行為は、「不正のトライアングル」という「動機・プレッシャー」、「機会」、「正当化」の3つの要因が全てそろった時に発生すると言われています。

不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としています。中でも能動的に組織が対策できるのは「動機・プレッシャー」と「機会」の低減です。

※不正のトライアングルを参考にした内部不正の3つの要因

・「動機・プレッシャー」=プレッシャー(業務量、ノルマなど)や処遇への不満など。内部不正行為に至るきっかけとなる。

・「機会」=技術や物理的な環境および組織のルールなど、内部者による不正行為の実行を可能、または容易にする環境のこと。

・「正当化」=良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など、内部者が不正行為を自ら納得させるための自分勝手な理由付け。

(3)内部不正防止の対策例

特に重要な情報が保管されているファイルやデータベースについては、以下のような対策をとることで、情報漏えいリスクを低減する必要があります。これらの内容は、IPA「組織における内部不正防止ガイドライン」にわかりやすく記載されています。

①重要な情報であることを明確にし、適切なアクセス権限を付与すること

→重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること。

→重要な情報に対するアクセス権限をもつ操作員を最小とすること。

→アクセス権限は定期的に見直すこと。退職者、委託先操作員などアクセス権限保持者の異動時には速やかにそのIDとアクセス権は削除すること。

②重要情報の持ち出し・可搬媒体などの持ち込みの監視

→情報機器や記録媒体の管理を厳格にすること。

→ノート型パソコンやUSBメモリ、スマートデバイスなどの持ち運び可能な媒体の利用を制限し、持ち込み、持ち出しには管理者の承認が必要で、記録を取ること。

③定期的な操作履歴の監視・監査

→内部不正の早期発見や事後対策として、重要情報へのアクセス履歴、利用者の操作履歴などのログを記録すること。

→ログを定期的に監査し、異常な事象の発見に努めること。