次いで、誤廃棄などによる「管理ミス」、「紛失・置き忘れ」など人的要因が上位と
なっています。
--------
■ 漏えい原因比率(件数):2008年 単年分析
【1位】 誤操作(35.2%)
【2位】 管理ミス(22.2%)
【3位】 紛失・置き忘れ(14.1%)
NPO 日本ネットワークセキュリティ協会
「2008年 情報セキュリティインシデントに関する調査報告書」
ネット通販事業者にとって顧客情報は情報資産であり、情報漏えいは事業者が認知
すべき重要なリスクのひとつです。
個人情報の保護のために、従業者に対する個人データの非開示契約の締結や教育・
訓練等監督が必要不可欠ですね。
個人情報保護法では、個人情報取扱い事業者に対し、情報の安全管理のため、
第20条で安全管理措置を、第21条では従業者の監督を義務付けています。
-----
安全管理措置について
個人情報の安全管理措置について、経済産業省のガイドラインで紹介されている
ポイントです。
1)組織的安全管理措置 :従業者の責任と権限を明確に定めた安全管理に対する
規程や手順書の整備・運用・実施状況の確認。
2)人的安全管理措置 :従業者に対して、業務秘密とされた個人データの非開示
契約の締結や教育・訓練等。
3)物理的安全管理措置 :入退館(室)の管理、個人データの盗難防止、機器の
保護等。
4)技術的安全管理措置 :情報システムへのアクセス制御、不正ソフトウェア対策、
情報システムの監視等。
今回は、2)人的安全管理措置について具体的な手法を紹介します。
・業務上秘密となる個人データの非開示契約は、従業者の雇用契約時又は委託
契約時に締結し、契約終了後も一定期間有効であるようにする。
個人データ取扱者以外でも、個人データを保有する建物等に立ち入る可能性がある
清掃員・警備員や、個人データを取扱う情報システムにアクセスする可能性がある、
情報システムの開発・保守関係者に対して、アクセス可能な範囲及びアクセス条件
について、契約書等に明記する。
・非開示契約に違反した場合の措置についても契約書に明記する。
・従業員に対し、個人データ及び情報システムの安全管理に関する役割や責任に
ついて定めた内部規程等の周知。
・従業員に対し、個人データ及び情報システムの安全管理に関する役割や責任に
ついての教育・訓練を行い、適切に実施されているか定期的に確認する。
ガイドラインでは、組織的、物理的、技術的安全管理措置についても具体的な手法
が提示されていますので、ぜひご参考ください。
-----
2008年 情報セキュリティインシデントに関する調査報告書 Ver. 1.3
(NPO 日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/2008/surv/incident/2008incident_sruvey_v1.3.pdf
------
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(平成20年2月29日厚生労働省・経済産業省告示第1号)
http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf
(p.23)安全管理措置
------
-------------------------------------------------
ネットショップの信頼性をカタチにしますECコミュニケーションデザイン フィデス
http://www.fides-cd.co.jp
*このサイトのご利用に際して
-------------------------------------------------
