こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
一般財団法人全日本情報学習振興協会は2月20日、「会社員の個人情報保護に対する取り組み」に関する調査結果を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】個人情報保護への取り組み状況について、調査結果が発表されています。部課長の個人情報保護への意識が相対的に低いことの背景や、企業における個人情報の管理について説明します。
今回のレポートは、20代から60代の会社員1,045人を対象にインターネット調査を実施した結果をまとめたものです。結果として、勤め先の企業で個人情報保護に対してどのような取り組みをしているかを尋ねたところ、約4割の企業が「特にない、わからない」と回答したということです。情報漏えいの最大の原因となる人間の「教育や意識改革」については4割弱と進んでいないとし、個人情報保護の効果を考えた場合、外形だけで個々人に対する個人情報保護の取り組みが十分ではないことが示されたとしています。
会社の個人情報保護に関するルールの遵守状況について尋ねたところ、完璧に守れているのは30.5%で、ある程度守れているが65.5%、あまり守れていないが3.2%となり、「あまり守れていない」「全く守れていない」が部長級、課長級で一般社員より多い結果となったということです。
部課長の個人情報保護への意識が相対的に低い背景として、各世代の個人情報に対する認識の違いが考えられます。
例えば、多くの方は個人情報に対して、個人を特定できるものなので、大切に守らなければいけないという認識があると思います。ただし、数十年前から社会全体として、個人情報に対して今と同じような認識があったかというと、そうではありません。1950年に導入された高額所得者公示制度では、第三者の監視機能が働き適切な申告を促すという目的で、高額所得者の氏名・住所・所得額が公示されていました。1983年より納税額を公示する高額納税者公示制度に変更されましたが、プライバシー保護の観点等から、2004年分の公示を最後に廃止されています。
その他にも、防犯目的で自転車のフレームに住所や氏名が書かれていた時期があったりするなど、個人情報に対する認識が、世代によって変化していることが考えられます。
企業における個人情報の管理について、まず、個人情報の定義や関連する法律やガイドラインを理解した上で、適切な管理をしていくことが必要です。
まず、個人情報の定義として、個人情報保護法では、個人情報は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの、または個人識別符号が含まれるもの」とされています。まず、生存する個人を特定できるものについては、個人情報に該当するとして、適切に管理することが求められます。
また、個人情報に関連する法律やガイドラインを理解することが必要です。個人情報保護法では、個人情報の取り扱いガイドラインや個人情報取扱事業者の責務が明記されていますので、個人情報を取り扱う企業においては、内容を確認することが求められます。
そして、特定された個人情報に対して、適切に管理することが必要です。まず、企業で保有している個人情報を把握し、ガイドラインに基づいて管理ルールや体制を構築し、それらが適切に運用されているか従業員の意識を向上させることで、PDCAサイクルを回すことが求められます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ