CANPAN ブログ検索
Loading
  • もっと見る

2015年02月09日

個人情報管理の勘所

 NPOにとって、会員、寄付の拡大のためにも個人情報の取得・保有は不可欠です。一方で、個人情報を漏えいしてしまった場合には、信頼を軸とするNPOの活動に多大な影響を及ぼすことになってしまいます。
 そのため、NPOにとっても情報管理が極めて重要であることはご存知のとおりです。
 個人情報の管理に関しては、各事業分野を管轄する省庁がガイドラインを作って、事業者に情報の安全管理体制の整備と漏えい事故等の防止のための具体的な対策を求めています。
 これらのガイドラインは、NPOを直接の対象としているわけではありませんが、情報管理の重要性からすれば、NPOにおいてもガイドラインの求める対策を全て実施するに越したことはありません。
ただ、限られた人的・物的資源の中でガイドラインに定められた全ての事項を常に遵守することはなかなか難しいというのが本音ではないでしょうか。

 以上のような状況を踏まえて、個人情報漏えい事故の原因等の分析結果から、情報管理策の優先順位について考えてみたいと思います(あくまで、私見です)。  
なお、以下に引用する漏えいの原因等のデータは、NPO日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ外が公開している「2012年情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」に基づいています。

 1.個人情報漏えいの原因及び漏えい媒体・経路
  個人情報漏えいの原因は、「管理ミス(誤廃棄等)」(59%)「誤操作」(20.1%)「紛失・置き忘れ」(8.0%)が約90%を占めると言われています。
  次に、個人情報の漏えい媒体・経路では、「紙媒体」が58.7%、「USB等可搬記録媒体」が25.9%、「電子メール」が5.5%となっています。

 2.情報管理策の優先順位
 @規程の整備(組織的安全管理措置)
まずは個人情報の安全管理措置を定めた規程の整備が必要になります。漏えい原因として一番多い「管理ミス」を出来る限り少なくするためにも、規程には、個人情報の管理者の職務権限と責任を明記し、管理者のリーダーシップのもとに組織的な情報管理を行っていく必要があります。
また、漏えい原因として2番目に多い「誤操作」をなくすため、個人情報を取り扱う業務の処理手順や情報機器操作時の注意点などについても、内部規程として整備しておくとよいでしょう(個人情報保護規程とは別の規程でもよい)。

 A担当者への教育等の実施(人的安全管理措置)
  漏えい原因である「誤操作」及び「紛失・置き忘れ」は、ヒューマンエラーの典型とも言えるものです。その対策としては、策定した規程の周知(規程を作っても誰も知らなければ意味がない)及び情報管理の重要性についての教育(セミナーへの参加)が効果的です(情報管理の重要性については、志的勉強会でも取り上げていきますので、是非ご参加下さい)。

 B管理場所の指定及びパスワードの設定等
  情報の記録媒体別では、「紙」による情報漏えいが一番多いとされています。そのため、個人情報を紙に印刷する機会をなるべく減らすとともに、どうしても紙で保管しなければならないものについては、保管場所を指定し、使用後は必ず指定場所に戻すことを徹底することが最低限必要となります(可能な限り施錠できる場所が望ましい)。
  「USB等の可搬記録媒体」に関しても、スタッフの私物の記録媒体の利用を制限し、団体の管理する記録媒体についても個人情報が含まれる情報の持ち出しは原則として禁止する、万が一漏えいした場合の対策として、パスワードの設定や記録媒体に記録するデータはすべて暗号化するなどの対策が求められます。

以上、優先的に実施するべき情報管理策について検討してみました。上記@〜Bはどんな団体でも最低限必要な対策ですので、不足する部分があれば、早急に対応されることをお勧めします。
上記について疑問点等があれば、執筆担当者までお気軽にご連絡下さい。

(担当:田中)

参考
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
posted by 樽本 at 13:02| Comment(0) | TrackBack(0) | NPOの法律問題