fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークによって守られる個人情報を扱うときの注意点

近年多発しているのが、個人的な情報の漏洩事故です。本来であればあってはならいことなのですが、インターネットの普及や、システムの複雑化などが原因で起こっています。そのほとんどが人為的ミスで、人間が起こした事故がほとんどです。ある調査によれば個人の情報漏洩の事故の8割が人間によるミスで、その件数も増加傾向にあります。残りの2割は外部からの不正アクセスなので、事故を未然に防ぐためには企業側の努力が必要になります。

ほとんどの事故は人為的ミスで、内部の人間が引き起こしていることが多いです。漏洩の原因は管理のミスや操作ミス、誤送信や盗難、紛失です。内部の人間の意識の低さや、指導の甘さがあると起こります。Pマークを取得する前にも漏洩事故が起こらないようにして、しっかりと情報が守られる体制を整えます。社内や社員の意識を高め、一人ひとりが事故を未然に防ぐことが出来るルールをしっかりと定めておきます。事故が起こってしまった場合でもプライバシーマークの規約に則って、きちんと連絡と報告をするようにします。マークを取得した後も、努力を惜しまないようにすることが何よりも大切です。支援サービスなども利用して、取得する努力をします。

個人情報の取り扱いにおける事故

個人の情報の漏洩の原因は管理のミスやパソコンなどの操作ミス、メールの間違った送信やデータの盗難、紛失です。内部の人間の意識の低さや、指導の甘さがあると起こります。操作ミスで多いのが、メールやファックスの送信ミスです。違う宛先におくってしまったり、添付ファイルを間違って送ってしまうからです。また大勢の人間にメールを送信するときに、宛先を隠さずに全員に一斉送信してしまうこともあります。企業側にきちんと管理ルールがあるにも関わらず、それを守ることが出来なかったというケースもあります。疲れているときや寝不足のときなど、自分たちの意識の低さが原因で漏洩が起こります。特に個人の情報を多く扱っている金融関係や、保険関係の企業は注意が必要です。近年事故の原因で増えているのが、紛失です。スマートフォンやノートパソコンを置き忘れて、情報が漏れてしまうケースがあります。USBメモリの置き忘れもあり、紙媒体以外の情報にも注意する必要があります。内部のミスの中には、故意に起こることもあります。経済的な理由や企業への恨みがあるときに、誰かが故意に漏洩させることがあるのです。

こういった内部のミスを減らすためには、企業や社員の意識改革が必要です。日常の業務の中には危険が潜んでいて、誰でも事故に巻き込まれる可能性があることを認識することが重要です。社内全体で意識を高めることで、漏洩させるリスクを減らすことが出来るのです。どのような事故がどんなときに起こるのかも理解して、原因や注意点を知っておくことも大切です。

事故報告のルール

Pマークを取得している企業が事故を起こしてしまった場合には、報告を行う義務があります。これはPマークの規約で定められたもので、Pマークの制度による欠格事項や判断基準に基づいて欠格レベルを判断します。外部からの有識者を加えた委員会で審議を行い、措置を決定します。またPマークの審査中や、申請を検討している企業に対してもこの規定に基づいて運用されています。

事故の報告義務は企業への制裁のために行っているのではなく、事故の重大さを企業側に理解して貰うために行っています。事故の大きさを知ることで客観的に全容を把握することができ、解決策や改善策を強化することが出来ます。個人の情報の管理体制がより強化されるので、企業にとってはプラスになります。これを維持することで信頼度が高まり、企業にとって大きなメリットとなります。

事故が発生したときには、規約に則った方法で報告します。報告する義務があることなのか確かめて、表紙と本文を合わせて報告書を作成します。表紙には代表者の押印や、個人的な情報を取り扱っている管理者の押印が必要です。本文には報告書の決められている様式に則って記入します。漏れや記入ミスがないように、注意します。報告書を提出するタイミングは、再発防止策や改善点をしっかり行ったときです。報告書を作成するためには時間が必要なので、事故が起きた後は報告するようにします。クレジットカードやキャッシュカードのデータなどの漏洩は二次被害が発生する可能性があるので、すぐに報告するようにします。全ての書類が揃ったら、決められた場所に郵送します。

住所や電話番号だけが個人情報ではない

個人の情報というものは氏名や住所だけではなく、個人が特定される可能性があるものを指します。個人が識別されることが出来ると個人的な情報になり、氏名や住所だけでなく連絡先なども個人的な情報になります。個人が現在使っているメールアドレスや、携帯電話の電話番号もこれに該当します。さらに学校名や勤務先、年齢や性別、学歴や家族構成など細かな情報も個人の情報です。本人の音声や写真、映像なども個人の情報になります。

また現在生存している人の個人が持っている情報の他に、亡くなってしまった人と関わりがある情報も個人的な情報になります。その情報が遺族に関わる情報があったときには、亡くなってしまった人の情報も個人の情報になります。すでに亡くなってしまった人の情報でも、生存している遺族が特定される可能性があるのなら個人の情報になるのです。さらに個人の情報は個人だけでなく、企業に関わるお客様や企業の役員、従業員に関する情報も個人的な情報になります。

プライバシーマークを取得している会社はこれらの情報を規約に則って管理し、情報が外部に漏れないように努力をしています。Pマークを取得するためにはいくつかのハードルがあり、情報を漏洩させない工夫をしている必要があります。その体制を整えるためにサポートしてくれるのが、プライバシーマーク取得支援サービスです。参考資料や経験を生かして、取得までサポートします。認証を確実にするために個人情報の洗いだしや管理体制を構築したりと、的確なアドバイスも貰うことが出来るのです。社内の個人情報を一度棚卸しして、内容や管理区分を把握します。さらに必要なセキュリティ体制を整えて、Pマーク取得をサポートしています。入室チェックや鍵の管理、パスワードの設定も行います。コツを押さえて申請をするので、取得率がアップするのです。

個人の情報が漏れてしまうことは、本来であればあってはならないことで、企業別にしっかり努力や工夫をすることが大切です。人為的なミスが多いので、意識改革やルールの設定などを細かく定めておきます。外部からの不正アクセスはアクセス範囲を縮小したり、権限者を最小限にすることで回避することが出来ます。自分自身が事故に関わることがあること、外部からの侵入で漏れてしまうことがあることをしっかり認識することも重要な対策方法です。

また取得するためにはプライバシーマーク取得支援サービスもあるので、それを利用して対策を考えることも出来ます。プライバシーマーク取得支援サービスはプロのアドバイザーが経験と知識を生かして、企業の情報管理を徹底的に洗い出してくれます。どの範囲まで管理したらいいのか分からないときや、どこから始めていいのか分からないときにも嬉しいサービスです。

万が一漏洩事故が起こってしまった場合でも焦らずに、プライバシーマークの規約に沿って落ち着いて報告をするようにします。また同時に事故の原因範囲、また改善策を調べて、迅速に対応するようにします。決して隠したりせずに、色々な人の意見やアドレスも参考にして事故を解決します。

 

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る