個人情報保護セミナー

平成 19年 3月 31日公認情報セキュリティ監査アソシエ

イト情報セキュリティアドミニスト

レータPiiP個人情報保護士　河邊憲二

個人情報保護法 個人情報取扱事業者を規制する法律

個人情報の取扱に際し遵守すべき義務を定める 個人の権利利益を害する場合に行政関与罰金、懲役などの措置（主務官庁大臣）

個人識別性のある情報の保護を目的 個人情報とは生存する個人に関する情報で 個人識別性のある情報 プライバシーより広い概念である

※OECDプライバシーガイドライン 1980①収集制限の原則、②データ内容の原則、③目的明確化の原則④利用制限の原則、⑤安全保護の原則、⑥公開の原則⑦個人参加の原則、⑧責任の原則

個人情報の定義 「個人情報」とは生存する特定の個人を　識別できる情報　　 法 2条

1. 「個人情報データベース等」とは 1.の集合物で　容易に検索できるよう体系化したもの　　法 2条 2.

「個人データ」とは 2.を構成する個人情報　　法 2条 4.

「保有個人データ」とは 3.のうち開示、訂正、追加削除、　利用停止、第三者提供停止を行う権限を有するもの　　法 2条 5.

個人情報取扱事業者の義務 利用目的の特定と目的外利用の制限

法 15条、 16条 適正な取得と本人同意　 法 17条、 18条 個人データの管理（正確性、安全管理）　 法 19条、 20条

従業者・委託先の監督　 法 21条、 22条 第三者提供の制限　 法 23条 本人への責任（開示訂正利用停止等）　法 24条、 25条、 26条、 27条、 28条、 29条、 30条

苦情処理窓口の設置　 法 31条

最近の事件から

個人情報流出事件の原因1. 情報が記録された書類、記録媒体の紛失2. 情報入り PC、書類の盗難3. ファイル共有ソフトのウイルス4. 書類の誤送付、電子メール FAX等の誤送信

流出事件における情報記録媒体1. 書類等の紙媒体2. PC内の情報3. USBメモリ等の外部メモリ

個人情報流出事件の原因分類集計　2005/03から 2007/03まで 1,293件

184

9

181

20

2

256

30

69

10

440

26

66

ウイルス

システム障害

過誤

持出

焼失

盗難

廃棄

不正アクセス

不明

紛失

目的外

漏洩

0 100 200 300 400 500

個人情報流出事件の媒体分類集計　2005/03から 2007/03まで 1,293件

111161662648

267156

255763

25500

17

5918

ＣＤＲＯＭＤＶＤＦＤ

ＨＤＤＭＯ

サーバデータ

ネットワークパソコンファックス

マイクロフィルム外部メモリ携帯端末

紙磁気カード磁気テープ電子メール

電話不明他

0 100 200 300 400 500 600

個人情報流出事件の媒体別原因集計　

2005/03から 2007/03まで 1,293件

事件からの教訓 書類や記録媒体は施錠した書庫で保管し、外部へは許可なく持ち出さない

PCは盗難にあってもデータが読み取られないよう認証キーとパスワードを併用しデータは暗号化する

書類送付やデータ送信の場合、送り先と内容を必ずチェックし、できるだけ安全確実な方法を選択する

書類や記録媒体、 PCの廃棄の際は、データが読み取られないような方法で廃棄する

サーバー、 PCへの不正アクセス対策をする 不要なネットワーク接続を許可しない 必要以上の書類やデータを保有しない

取り組むべき課題

保有の必要がない情報の特定と廃棄 保有情報資産台帳の整備と管理 暗号化、電子署名、認証キーの導入 情報の管理技術の向上 ID管理とログ管理 内部統制