西山

個人情報、金庫ごと持ち去られる


 

個人情報に対する攻撃は時として思いも寄らない方面から生じます。プライバシーマーク(Pマーク)上でも通常個人情報保護となるとシステム・ネットワークセキュリティといった技術的な側面や、あるいは個人情報マネジメントシステムの整備という組織的な側面が強調されがちですが、そうではない別の側面、すなわち物理的なセキュリティの側面も忘れてはなりません。

物理的セキュリティ

物理的なセキュリティの側面とは要するに入退室の管理や個人データの盗難の防止など、事務所において物理的に施すべきセキュリティ対策の方面のことです。

個人情報に関する事故としては決して多いケースではないかもしれませんが、先日以下のようなニュースが出ていましたのでご紹介します。

顧客情報持ち去り被害例

店舗で金庫持ち去り、現金と顧客情報が被害に – ステーキのどん

レストランチェーンで金庫の盗難事件が発生したとのことですが、プライバシーマーク(Pマーク)取得会社として着目すべきなのはその中に現金のほか顧客情報も入っていたというところです。

盗難の被害にあった顧客情報ですが、キャンペーンの申し込みで取得した個人情報ということで、名前、住所、電話番号、生年月日、年齢、性別が含まれていたということのようです。

そのキャンペーンの案内チラシを見てみましたが、個人情報を記入する欄とともに「本企画以外の目的で応募用紙の記載情報を使用する事は一切ございません」という趣旨のことが書かれてあり、個人情報の利用目的に関する事項も明記されていました。個人情報保護法でもプライバシーマーク(Pマーク)の規格でも、個人情報の利用目的についてお客様の同意を得ること(場合によっては通知すること)は必要事項とされています。

とはいえ取得の段階で適正な手順を踏んでいても管理の段階で不備があれば、十分な個人情報保護体制が整備されているとはいいがたくなりますし、プライバシーマーク(Pマーク)においても不適合とされてしまいます。大切なのは個人情報の保管においても十分な物理的安全管理措置を講じることです。

施錠設備ごと盗難に対する対策

確かに個人情報を施錠できる金庫のような設備に保管していたということ自体は安全管理の面でも特段問題視されるようなことではありませんし、同じような保管方法をとっているほかのプライバシーマーク(Pマーク)取得会社においても“金庫などの施錠設備ごと盗難される”というリスクに対してまでは対策を取っていないという会社もあるかもしれません。

もちろんどこまでを対策の必要なリスクとみなし、どこからを残存リスクとして管理するかは各プライバシーマーク(Pマーク)取得会社が自社の現状に応じて判断する問題となります。

まとめ

とはいえ少なくとも今回のニュースのような事故が現実に発生している限り顧客情報などの個人情報の保管場所について各プライバシーマーク(Pマーク)取得会社が再度見直しを行い、改善が必要な箇所について手順やルールを更新するのは賢明なことといえます。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山