|
2005年4月から施工される個人情報保護法について、過去2号にわたり経済産業省発行のガイドラインに沿って述べてきた。しかしガイドラインには皆さんが一番知りたいこと、「じゃ、うちの会社はどうすればいいの?」については、概略しか触れられていない。JISQ15001を参考にしろとか、コンプライアンス・プログラムを策定しろとか。
今回はそれらを準備して、きちんと実行できるという皆さんは対象外として、あくまでも私有城の私見に基づいた、簡単にできること という基準で述べてみたいと思う。
まず能書きから。初めにお伝えしたいことが「『生産性』と『セキュリティ対策』は相反するものである」ということである。要は個人情報保護法に対する対策を実行するということは、今までの快適な仕事の流れにブレーキをかけるということをご理解いただきたい。
したがってこれをお読みになり、何か対策を考えているという方には、対策を実行するにあたって社内の猛烈な反発を覚悟しなければならないのだ。
社長から「対策を考え実行してくれ。期待しているよ。」なんて言われたあなた。ご愁傷様です。そんな社長に限っていざ実行の最終決断時には「そんな机上の空論で会社を動かせると思ってるのか!」なんてね。(言いすぎかな?)
冗談はさておき、「生産性とセキュリティ」のちょうど良いバランスはどこか?を見極めるのが大きなテーマとなってくるのは間違いない。
さて見極めの指標となるのが、「さあ事だ!」となった時の被害を想定して、会社に対するリスクの度合いを測る作業であろう。具体的には1.社内にある「個人情報」のピックアップ 2.それぞれが漏洩した場合の会社に与える被害のランクわけ 3.その一連の作業を定期的に行う仕組みづくり という流れになる。
まず初めの「個人情報」の定義だがこれは「個人情報保護法」や「ガイドライン」に詳しく定義されているのでそれらを参考にしていただきたい。(もちろん前号・前々号の私の駄文でも結構です。)その定義に従って「データ数(5,000件以上かどうか)、場所(PC内とは限りません、紙も立派な情報です。)、管理者、そして項目(名前、電話番号等)」を書き出す。
次にランクわけを行う。ランクは漏洩した場合 A.会社に致命的なダメージを与える B.多少のダメージを与える C.ダメージ無し の3段階で良いと思う。ただし漏洩した先によっても変わる場合は、ダメージの多いほうに上げたほうが無難であろう。
3.については「?」と思う方がいるかもしれないが、会社に蓄積されるデータは日々更新しているのであり、一方個人情報保護法は「半年に一度でも」という「半年」が期限となっているのだ。したがってデータの蓄積が始まった段階で、報告があることが理想だが、それが無理なら「半年に一度の監査を実施する」というような流れを作ったほうが良いと思う。
ランク分けの次に必要となることが「教育」と言いたいところだが、なかなか時間が取れないとか、一体何を教えて良いのか逆に教えて欲しい、なんて言われかねない。
よって、せめて大切なファイルには
「パスワードをかけませんか?」
とだけお伝えしたい。
過去の漏洩事件を見てみるとデータにパスワードをかけただけで、かなり防げたケースが多かったという。そこで先ほどランクAに上げられたデータだけでも「パスワード」をかけるようにしよう。
特にデータのほとんどがマイクロソフト社のエクセルで出来ているのではないか?もしそうならば話は簡単である。エクセルやワードではファイルの保存時に簡単にパスワードをかけることが出来るのだ。※1)
上記以外のアプリケーションでもパスワード機能がついているものは多いし、もしその機能が無いとしても、圧縮ソフトにはパスワード機能のあるものが多い。圧縮の際にパスワードをかけてしまう。※2)
最後にお伝えしたいことが「記録を残す」ということだ。これはソリューション用語で言うと「ログを残す」ということ。これは例えば「サーバー内のある特定フォルダに対してアクセスをしたユーザー名のアクセスログを残していく」なんてことをやろうと思うと、W2Kサーバー以上にバージョンアップをして、ドメインコントローラーを立てて、クライアントのプロファイルを移行して・・・。
というようなことをお勧めするつもりは無い。ノート一冊あれば済んでしまう。
先ほどランクAでピックアップされたデータに触った人の記録を、そのノートに残していけばよいのだ。
たとえばそのデータがサーバーにあったとしよう。ノートとボールペンをサーバーの横に置いておいて(ボールペンに紐なんか付いていると尚可)そのデータにアクセスした人は「名前と日時」を記入するだけでよい。要するにそのデータに触った人が誰で、今そのデータはどこにあるのか、さえ分かれば良いのだ。
ノート一冊の記録も残せないのならば、ITソリューションを導入したとしても全く効果は期待できない。なぜならば、便利なことが増えるが、同じ数だけ面倒なことが増えるのがITソリューションなのだから。
このように簡単なことから始めてみたらいかがであろうか。一方的な私個人の考えであるのでご意見やご感想をいただけたら幸いである。
※ 1)メニューの「ファイル」→「名前を付けて保存」→(ダイアログの右上の「ツール」)→「全般オプション」からパスワードを設定できる。
※ 2)検索エンジンで「圧縮ソフト」「パスワード」で検索してほしい。有料から無料まであらゆるソフトが出てくるので比較検討してほしい。
|
