特定個人情報保護評価の概要 - PPC特定個人情報保護評価の目的 特定個人情報保護評価は、番号制度の枠組みの下での制度上の保護措置の1つであり、
個人情報保護セミナー
description
Transcript of 個人情報保護セミナー
個人情報保護セミナー
平成 19年 3月 31日公認情報セキュリティ監査アソシエ
イト情報セキュリティアドミニスト
レータPiiP個人情報保護士 河邊憲二
個人情報保護法 個人情報取扱事業者を規制する法律
個人情報の取扱に際し遵守すべき義務を定める 個人の権利利益を害する場合に行政関与罰金、懲役などの措置(主務官庁大臣)
個人識別性のある情報の保護を目的 個人情報とは生存する個人に関する情報で 個人識別性のある情報 プライバシーより広い概念である
※OECDプライバシーガイドライン 1980①収集制限の原則、②データ内容の原則、③目的明確化の原則④利用制限の原則、⑤安全保護の原則、⑥公開の原則⑦個人参加の原則、⑧責任の原則
個人情報の定義 「個人情報」とは生存する特定の個人を 識別できる情報 法 2条
1. 「個人情報データベース等」とは 1.の集合物で 容易に検索できるよう体系化したもの 法 2条 2.
「個人データ」とは 2.を構成する個人情報 法 2条 4.
「保有個人データ」とは 3.のうち開示、訂正、追加削除、 利用停止、第三者提供停止を行う権限を有するもの 法 2条 5.
個人情報取扱事業者の義務 利用目的の特定と目的外利用の制限
法 15条、 16条 適正な取得と本人同意 法 17条、 18条 個人データの管理(正確性、安全管理) 法 19条、 20条
従業者・委託先の監督 法 21条、 22条 第三者提供の制限 法 23条 本人への責任(開示訂正利用停止等) 法 24条、 25条、 26条、 27条、 28条、 29条、 30条
苦情処理窓口の設置 法 31条
最近の事件から
個人情報流出事件の原因1. 情報が記録された書類、記録媒体の紛失2. 情報入り PC、書類の盗難3. ファイル共有ソフトのウイルス4. 書類の誤送付、電子メール FAX等の誤送信
流出事件における情報記録媒体1. 書類等の紙媒体2. PC内の情報3. USBメモリ等の外部メモリ
個人情報流出事件の原因分類集計 2005/03から 2007/03まで 1,293件
184
9
181
20
2
256
30
69
10
440
26
66
ウイルス
システム障害
過誤
持出
焼失
盗難
廃棄
不正アクセス
不明
紛失
目的外
漏洩
0 100 200 300 400 500
個人情報流出事件の媒体分類集計 2005/03から 2007/03まで 1,293件
111161662648
267156
255763
25500
17
5918
CDROMDVDFD
HDDMO
サーバデータ
ネットワークパソコンファックス
マイクロフィルム外部メモリ携帯端末
紙磁気カード磁気テープ電子メール
電話不明他
0 100 200 300 400 500 600
個人情報流出事件の媒体別原因集計
2005/03から 2007/03まで 1,293件
事件からの教訓 書類や記録媒体は施錠した書庫で保管し、外部へは許可なく持ち出さない
PCは盗難にあってもデータが読み取られないよう認証キーとパスワードを併用しデータは暗号化する
書類送付やデータ送信の場合、送り先と内容を必ずチェックし、できるだけ安全確実な方法を選択する
書類や記録媒体、 PCの廃棄の際は、データが読み取られないような方法で廃棄する
サーバー、 PCへの不正アクセス対策をする 不要なネットワーク接続を許可しない 必要以上の書類やデータを保有しない
取り組むべき課題
保有の必要がない情報の特定と廃棄 保有情報資産台帳の整備と管理 暗号化、電子署名、認証キーの導入 情報の管理技術の向上 ID管理とログ管理 内部統制