【情セキ.014】個人情報保護マネジメント
佐藤@IT雑貨屋です。
ここで個人情報保護マネジメントについて書いてみます。これは個人情報保護の観点で、個人情報は重要な資産だと考え、それを保護するためのマネジメントシステムを言います。個人情報保護には、個人情報保護法があり、JIS規格ではJIS Q 15001があります。
日本国内では「Pマーク」という認証制度があり、JIPDECが推進していますが、ISMSとの違いは、ISMSの場合、適用範囲内の情報資産を洗い出して、それをCIA(機密性・完全性・可用性)の観点で守る事を行いますが、Pマークでは個人情報を守り、目的外利用をさせない等、個人情報保護法に基づき守る事を主眼としています。ですから情報資産を守ると言う事では同じですが、取組みとしては少し異なるものとなります。
◆個人情報とは
個人情報とは、氏名、住所、メールアドレスなど、単体もしくは他の情報と組み合わせる事で、個人を特定できる情報を言います。対象の個人が死亡していたり、法人の場合、それは個人情報とはなりません。
◆個人情報保護マネジメントシステム
個人情報保護の基本的な考え方は、個人情報は本人の財産なので、組織はそれを預かってるという立ち位置になります。だからそれが勝手に別の人の手に渡ったり(第三者提供)、間違った方法で使われたり(目的外利用)、内容を勝手に書き換えられたりしないように、適切に管理する必要があるという事です。
そのためには、個人情報を守るシステムであるPMS(Personal Information protection Management System)を構築していく必要があります。よく「Pマーク」という呼称がある事から「Privacy」と誤解されていますが、ここでは「Personal Information」の事を指しています。Privacyとは個人の周囲にある秘密を指しますが、Personalなので個人を特定できる情報を指すのです。
この個人情報保護に関する規格としてはJIS Q 15001が規定されているので、それに基づきマネジメントシステムを構築します。
◆JIS Q 15001について
JIS Q 15001では以下の事が要求されています。
・個人情報保護方針の策定と公表
・個人情報の特定とリスク分析
・個人情報の利用目的の明確化
・内部規定を定め、個人情報を適切に管理すること(PDCAサイクルの運用)
・本人の同意を得て、開示・訂正・苦情などに対応すること
・利用する必要がなくなった故人情報は消去すること
個人情報保護方針とは、個人情報保護に関する取り組みを文書化したもので、企業のWebページなどで公開されています。
◆OECDプライバシーガイドライン
国際的なプライバシーに関する減速としては、OECD(Organization for Economic Co-operation and Development:経済強力開発機構)が発表した、OEDCプライバシーガイドラインがあります。プライバシー保護と故人データの国際流通についてガイドラインに関する理事会勧告として出されています。
このガイドラインには、個人情報保護に関する以下8項目の原則(OECD8原則)が定められていますので、この内容についても遵守が必要です。
①収集制限の原則
個人情報の収集は適法かつ公正な手段によらなければならない。本人の認識や同意
が必要。
②データ内容の原則
個人情報は、必要な範囲内で、正確でかつ完全で再診のものでなければならない。
➂目的明確化の原則
収集目的は、収集時に特定されていなければならない。
④利用制限の原則
収集目的を越えて開示、提供、利用されてはならない。
⑤安全保護の原則
紛失、改竄などのリスクに対して安全対策が必要。
⑥公開の原則
個人情報の取り扱いについて基本方針を公開する。
⑦個人参加の原則
本人の求めに応じて、回答を行わなければならない。
⑧責任の原則
管理者は①~⑦のルールに準拠した責任を持つ。
◆個人情報保護法
個人情報を守るために制定された法律が、個人情報の保護に関する法律(個人情報保護法)です。個人情報をデータベース等として保持し、事業に用いている事業者は個人情報取扱事業者とされ、以下のことを守る義務があります。
・利用目的の特定
・利用目的の制限(目的外利用の禁止)
・適正な取得
・取得に際しての利用目的の通知
・本人の権利(開示・訂正・苦情・利用停止・第3者提供記録など)への対応
(窓口での苦情処理)
・漏洩等が発生した場合の個人情報保護委員会や本人への通知
個人情報などの第三者へ提供は原則"可"で、提供してほしくない場合には本人が拒否を通知する仕組みをオプトアウトと言います。これに対し、提供は原則"不可"で、提供するためには本人の同意を得る必要のある仕組みをオプトインと言います。
個人情報保護法では、オプトアプト規定があり、オプトアプト方式を採用する場合には個人情報保護委員会への届け出が必須です。また「人権」「信条」「病歴」など、特別な配慮が必要となる要配慮個人情報はオプトアウトでは提供できません。さらに、不正取得されたデータや、オプトアウト規定で提供されたデータを更に第三者に提供することも禁止されています。
個人情報の利活用については、後述する匿名化手法を用いた匿名加工情報や、個人情報から氏名などの情報を取り除いた仮名加工情報は、データ分析のために利用条件が緩和されています。
◆プライバシーマーク
JIS Q 15001の要求を満たし、個人情報保護に関して適切な処理を行っていると認定された事業者には、プライバシーマーク利用が認められる制度です。ISMSでは適用範囲で対応する領域を決定できますが、プライバシーマークでは会社毎の単位となります。
◆世界水準のプライバシー保護体制
世界各国で個人情報保護の規制強化が進められており、個人情報の処理によって影響を受けかねないプライバシーを保護する必要があります。そのための国際規格として ISO/IEC27701:2019があり、PIMS(Privacy Information Management System:プライバシー情報マネジメントシステム)を構築します。
ISO/IEC 27701は、ISO/IEC 27001及びISO/IEC 27002の拡張規格として位置づけられており、ISMSを前提に、プライバシーを保護する仕組みを追加します。JIPDECの認証規格にはISMSを認証するISMS認証に加えて、PIMSの要求事項に適合していることを認証するISMS-PIMS認証があります。
◆マイナンバー法
行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)とは、国民一人ひとりにマイナンバー(個人番号)を割り振り、社会保障や納税に関する情報を一元的に管理するマイナンバー制度を導入するための法律です。
各種法定書類にマイナンバーの記載が必要となるので、企業の従業員や故人事業主などは、関係する機関にマイナンバーを提示する必要があります。
◆特定個人情報の適正な取扱いに関するガイドライン
特定個人情報とは、マイナンバーやマイナンバーに対応する符合その内容に含む個人情報の事を指します。マイナンバーに対応する符合とは、マイナンバーに対応し、マイナンバーに変わって用いられる番号や記号などで、住民票コード以外のものを指します。
特定個人情報の適正な取扱いに関するガイドラインは、個人情報保護委員会が策定したもので、(事業者編)と(行政機関等・地方公共団体編)の2種類があり、特定個人情報を扱う際の注意点などがまとめられています。
ガイドラインでは、マイナンバーの利用目的を特定し、源泉徴収票などの特定の業務以外でのマイナンバーの利用を制限しています。また、必要がない場合にマイナンバーを請求する事が制限されており、委託する場合にも業務が限られ、監督責任が生じます。さらに、不要になって一定の保管機関を過ぎた場合には速やかに破棄することなどが定められています。
◆プライバシー対策の三つの柱
①プライバシーフレームワーク
組織やプロジェクトが個人情報保護対策を検討する前提となる、個人情報保護に
関する法律やガイドライン、指令等をいいます。
②プライバシー影響評価(PIA:Privacy Impact Assessment)
プライバシーフレームワークの規範として、組織での個人情報保護がどの様に
運用されているか、プライバシー要件を満たしているかについて、組織の判断を
支援するシステムをいいます。
➂プライバシーアーキテクチャ
技術面からのプライバシー強化策をいいます。
これら3つを柱として運用し、必要に応じて組織やプロジェクトごとにカスタマイズ
されます。
◆匿名化技法
匿名化とは、個人情報を利用する際に、その個人を特定できなくするために、属性に対して削除、加工などを行う事を言います。匿名化の手法としては、基礎となるデータから一定の割合・個数でランダムに抽出するサンプリングや、同じ保護属性の組み合わせを持つレコードが少なくともK個存在するように属性の一般化やレコードの削除を行う、k-匿名化などがあります。