安全保護の原則 【Pマーク8原則シリーズ その5】

プライバシーマーク（Pマーク）の根本原則であるOECD8原則の5つ目は「安全保護の原則」です。今回の記事ではこの原則について考えたいと思います。

安全保護の原則（Security Safeguards Principle）とは

安全保護の原則とはこのような内容です。

「個人データは、紛失又は無権限のアクセス、破壊、使用、修正若しくは開示その他のリスクに対し、妥当な安全保護措置により保護されなければならない。」

プライバシーマーク（Pマーク）取得会社は、この原則に調和して自社の個人情報保護に関連するすべての方針や規定、手順を策定・更新しなければなりません。

解説

プライバシーマーク（Pマーク）において個人情報を安全に保護するという目的が最重要であることは言うまでもありません。

かつては”ヒト・モノ・カネ”が企業における経営資源と言われていましたが、今ではこれらに加えて第四の資源、すなわち”情報”が経営において欠かせないものとされるようになっています。

情報の重要性が認識され、社会において情報の流通や収集、活用が進む中、個人情報もまた非常に資産価値の高いものとして取り扱われるようになりました。

資産価値が高いということはその価値を損なうリスクもその分多く、それに応じてレベルの高いセキュリティ対策も求められるということに他なりません。安全保護の原則の目標はここにあります。

具体的にはどのようなリスクから個人情報を守るのでしょうか。

一つ目に挙げられているのは「紛失」です。紛失は第三者の手に個人情報が渡ることと自社において個人情報が利用できなくなることの二重の問題をはらんでいます。

二つ目は「無権限のアクセス」です。個人情報へのアクセスは許可された者だけに限られなければなりません。許可されていない者が個人情報にアクセスできる状態は安全保護の原則に真っ向から反します。

三つ目は「破壊」です。人為的な破壊と非人為的な破壊の両方を含みます。

四つ目は「使用」です。これは二つ目の「無権限のアクセス」と同じく許可されていない者による利用を指すものと解釈できるでしょう。

五つ目は「修正」です。電子データで個人情報が管理されるようになったことで、情報の活用や処理が簡単になった反面改ざんなどの意図しない修正や更新も容易に起こりうるようになりました。これもリスクとして認識すべきものの一つです。

六つ目は「開示その他のリスク」です。OECD8原則の他の翻訳を参照しますと、開示とはつまり漏えいを意味していることがわかります。

これらのリスクに対して「妥当な安全保護措置」すなわちリスクを分析した結果に応じた対策を講じることがプライバシーマーク（Pマーク）取得会社に求められているのです。

Pマークとの対応

安全保護の原則はプライバシーマーク（Pマーク）の中の以下の項目で適用されています。

3.4.3.2　安全管理措置
3.4.3.3　従業者の監督
3.4.3.4　委託先の監督

プライバシーマーク（Pマーク）の規格であるJIS Q 15001を見ますと、「3.4.3.2　安全管理措置」の項目はほんの2行ほどの文章でまとめられていますが、ガイドラインでは実に15ページ以上紙面が割かれており、安全保護の原則を実践するための多岐にわたる対策とそれを講じるための望ましい手法が提示されています。

まとめ

これはプライバシーマーク（Pマーク）取得会社が安全保護の原則に準じた個人情報保護の運用に最大の注意を向けて取り組むべきことを示すものとなっています。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】