クラウドセキュリティ

プライバシー保護とは?個人情報との違いや漏洩リスクを解説

プライバシー保護とは?個人情報との違いや漏洩リスクを解説

【ログ活用の最新トレンド】
これから始める操作ログ活用ガイド

ログ管理の活用シーン、具体的な活用ステップなどを解説。
「取得したログを活用できていない」という担当者様、必見の一冊です。

資料をダウンロードする

目 次

プライバシーとは
プライバシーと個人情報の違い
プライバシーの保護とは
個人情報保護法について
プライバシー保護がセキュリティ対策で欠かせない理由
アカウントの乗っ取り
金銭的な損失
詐欺やスパムメールの被害
安全な生活を脅かされる
プライバシー(情報)が漏洩する原因
プライバシー保護に有効なセキュリティ対策
1.操作ログの取得と監視
2.OS・ソフトウェアなどの定期的なアップデート
3.多要素認証の導入
4.アンチウイルスソフトの導入
5.従業員への情報セキュリティ教育の実施
企業のプライバシー保護対策なら
まとめ


プライバシーとは「個人的な情報を第三者に侵害されない権利」あるいは「他人に知られたくない情報」のこと。例えば、住所や電話番号、あるいはプライベートな内容をつづる日記など、他人に知られたくない情報であれば、プライバシーに該当します。

個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。
出典:Weblio辞書「デジタル大辞泉-プライバシー【privacy】」

「個人情報と何が違うのか」という疑問の解として、プライバシーと個人情報には以下のような違いがあります。

個人情報…特定の個人を識別できる情報(客観的事実・データ)

プライバシー…他人に知られたくない情報(主観的に判断される権利・情報)

個人情報は客観的事実に基づくデータであるのに対し、プライバシーは主観的に判断される権利・情報を指します。また個人情報も「他人に知られたくない情報」という点で、プライバシーの一部と考えられます。

個人情報を含むプライバシーが侵害されれば、アカウントの乗っ取り金銭的な損失といったセキュリティ被害が発生したり、個人の尊厳が損なわれたりする恐れがあります。

プライバシーを守る対策案の例は、下記の通りです。

  • ・ 操作ログの取得・監視
  • ・ 多要素認証の導入
  • ・ OS・ソフトウェアなどの定期的なアップデート
  • ・ アンチウイルスソフトの導入
  • ・ 従業員への情報セキュリティ教育の実施

この記事では、プライバシー保護の重要性やプライバシーが侵害される原因、保護するための対策などを解説します。

▼この記事を要約すると

  • プライバシーとは「個人的な情報を第三者に侵害されない権利」あるいは「他人に知られたくない情報」のこと
  • 個人情報が「個人を特定できる客観的な情報」であるのに対し、プライバシーは「主観で判断される権利もしくは情報」という違いがある
  • プライバシーにかかわる個人情報の漏洩は「アカウントの乗っ取り」「金銭的な損失」「詐欺やスパムメール被害」などを招くリスクがある
  • 企業のプライバシー保護には「OS・ソフトウェアの定期アップデート」「ログ取得や監視」「アンチウイルスの導入」「従業員への情報セキュリティ教育」などが有効

プライバシーとは


プライバシーとは、一般的に「個人的な情報を第三者に侵害されない権利」あるいは「他人に知られたくない情報」であると捉えられています。個人を特定できる情報や、個人の私生活に関わる情報などが該当します。

▼プライバシーに該当する情報の例

  • ・ 氏名
  • ・ 生年月日
  • ・ 住所(自宅など)
  • ・ 電話番号
  • ・ 顔写真
  • ・ マイナンバーやパスポート番号、運転免許証番号
  • ・ アカウントのログイン情報(パスワードなど)
  • ・ 家族構成
  • ・ SNSアカウントや投稿内容
  • ・ 学歴や社歴

プライバシーには明確な定義や法的な線引きがなく、主観による判断が多くを占めます。ただし公開情報が以下要件に当てはまる場合、「プライバシーの侵害」に該当する可能性があります。

  • 公開内容が、私生活上の事実らしく受け取られる恐れのある事柄
  • 当人の立場に立った場合、公開を欲しないであろうと認められる事柄(心理的な負担、不安を覚えるとみられること)
  • 一般人に知られていない、かつ公開されることで当人が不快、不安の念を覚えたこと

※1964年9月「宴のあと」事件裁判にて定められた「プライバシー侵害」の要件を参考
参考:国立公文書館│プライバシーの権利 ―起源と生成―

プライバシーと個人情報の違い


「プライバシー」と「個人情報」の違いとして、個人情報は文字通り特定の個人を識別できる情報を指します。
▼個人情報の例

  • ・ 氏名
  • ・ 住所
  • ・ 電話番号
  • ・ メールアドレス
  • ・ 顔写真
  • ・ マイナンバー
  • ・ 免許証番号

一方で、プライバシーは他人に知られたくない情報全般を指し、たとえ個人を特定できない情報であってもプライバシーに該当する可能性があります。個人情報は客観的事実に基づくデータであるのに対し、プライバシーは主観的に判断される権利・情報という違いがあります。
また、個人情報は「プライバシーの一部」とも考えられます。

プライバシーの保護とは

この記事のテーマとなる「プライバシーの保護」とは、個々が自身に関する情報を適切にコントロールし、不当な取り扱いから守る権利を保障することです。

プライバシーの保護に関する国際的なガイドラインとして、日本も加盟する国際機関「OECD(経済協力開発機構)」が1980年に採択した、プライバシー保護と個人データの国際流通についてのガイドラインがあります。

この勧告では、個人データの保護に関する8つの原則が示されています。
以下は、その8つの原則です。

1.収集制限の原則 データ収集は、適法かつ公正な手段で行い、必要に応じて個人の同意を得る必要がある
2.データ内容の原則 データは、正確で最新の内容を維持し、利用目的に適合するものでなければならない
3.目的明確化の原則 データを収集する際は、収集目的を明確にし、収集後の利用はその目的に基づいて行われなければならない
4.利用制限の原則 収集したデータは、あらかじめ定めた目的以外で使用してはならない
ただし、個人の同意がある場合や法律に基づく場合は例外
5.安全確保の原則 個人データは、不正アクセスや漏えいを防ぐために適切なセキュリティ対策を講じる必要がある
6.公開の原則 データの収集において、データの管理者は、利用方針を公開するべき
また、データの所在や利用目的も明示するべき
7.個人参加の原則 個人は、自分に関するデータの確認や訂正を求める権利を持ち、そのデータが誤っている場合は修正を要求できる
8.責任の原則 データ管理者は、これらの原則に基づく適切な措置を実行する責任がある

このように8つの原則は、個人情報の適正な取り扱いを確保するための基本的な枠組みを提供しています。

参考:JIPDEC│プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告 (2013)

個人情報保護法について

OECDの8原則を基に、日本では「個人情報の保護に関する法律(個人情報保護法)」が2003年に制定され、2005年に全面施行されました。

個人情報保護法は、個人情報が適切に管理されるためのルールを定めた法律です。氏名や住所、生年月日などは個人のプライバシーに関わる情報として保護されるべきですが、行政や医療、ビジネスなど多くの分野にて活用されます。

個人情報保護法は個人情報を守る一方で、その有用性を損なわないようバランスを保つことを目的に制定されました。デジタル技術の進展やグローバル化に対応するため、法律は過去三度の大規模な改正が行われています。

個人情報保護法に関しては、以下の記事でも詳しく解説しています。

関連ページ

【動画解説付】2022年4月施行の改正個人情報保護法で対応すべき6のポイントをわかりやすく解説

プライバシー保護がセキュリティ対策で欠かせない理由


プライバシーが保護されない場合、以下のようなセキュリティ被害が懸念されます。

  • ・ アカウントの乗っ取り
  • ・ 金銭的な損失
  • ・ 詐欺やスパムメールの被害
  • ・ 安全な生活を脅かされる

アカウントの乗っ取り

漏洩した個人情報(メールアドレスやパスワード)が悪用されることで、SNSや銀行口座、クラウドサービスのアカウントが不正に乗っ取られる可能性があります。

具体例

  • ・ メールアカウントが乗っ取られ、スパムメールや詐欺に悪用される
  • ・ 乗っ取られたSNSアカウントから、友人や家族に詐欺メッセージを送られる
関連ページ

アカウントの乗っ取りかも?兆候と対処法を解説!乗っ取り防止の対策も

金銭的な損失

漏洩したクレジットカード情報や銀行口座情報が不正利用され、金銭被害が発生するリスクがあります。

また企業であれば、顧客や取引先のプライバシーの侵害や個人情報漏洩により、損害賠償の支払いが発生したり、復旧対策に多額の費用が必要となったりするリスクも抱えています。

詐欺やスパムメールの被害

漏洩したメールアドレスや電話番号の情報をもとに、フィッシング詐欺やスパムメールが仕掛けられるリスクもあります。

被害の具体例

  • ・ 銀行や公共機関などを装った攻撃者からメールが届き、偽のログインページへと誘導され、社員がIDやパスワードを誤って入力してしまう
  • ・ 社員がスパムメールに添付されたファイルやリンクを誤って開き、システムがマルウェアに感染する

安全な生活を脅かされる

あなたの住所や位置情報、行動パターンが悪意ある第三者に知られる・利用されることで、身体的な安全やプライバシーが侵害される可能性があります。

被害の具体例

  • ・ 漏洩した住所を基に、ネット詐欺や訪問詐欺のターゲットになる
  • ・ SNSに投稿した位置情報を元に、ストーカーや不審者が特定の場所で待ち伏せをする

プライバシー(情報)が漏洩する原因


プライバシーに関する情報が、第三者に漏洩する主な要因は以下の通りです。

  • ・ 不正アクセス
  • ・ マルウェア感染
  • ・ 誤操作
  • ・ 情報の紛失
  • ・ 不正な持ち出し

東京商工リサーチが2024年に発表した調査によると、2023年に発生した情報漏えい・紛失事故の主な原因として「ウイルス感染・不正アクセス」が最多で、全体の半数以上を占めました。

 

出典:東京商工リサーチ| 2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(2024年1月19日)

また、現職社員や退職者が組織の機密情報を私的な目的で持ち出す、「不正持ち出し・盗難」を原因とした情報漏洩事件数も、前年から約5倍に増加しています。

このような状況を踏まえると、技術的な対策だけでなく組織内での教育や意識改革、適切な情報管理体制の構築が、プライバシー保護には不可欠と言えるでしょう。従業員の不正操作を把握する手段として、操作ログの取得も有効です。

【ログ活用の最新トレンド】
これから始める操作ログ活用ガイド

ログ管理の活用シーン、具体的な活用ステップなどを解説。
「取得したログを活用できてない」という担当者様、必見の一冊です。

資料をダウンロードする

プライバシー保護に有効なセキュリティ対策


プライバシーを保護しセキュリティリスクを防ぐには、以下のような情報漏洩対策が効果的です。

  • 1. 操作ログの取得と監視
  • 2. OS・ソフトウェアなどの定期的なアップデート
  • 3. 多要素認証の導入
  • 2. アンチウイルスソフトの導入
  • 3. 従業員への情報セキュリティ教育の実施

1.操作ログの取得と監視

組織のプライバシー保護において、ログの取得・監視は極めて重要です。不審なアクセスやデータ操作を早期に検知・把握することで、情報漏洩や不正行為のリスクを抑えられるためです。

また保存されたログデータは、セキュリティインシデント発生時の原因究明にも役立ちます。例えば、社内で不正な情報持ち出しが発生した場合も、ログをさかのぼることで犯人や手口を明らかにできます。

2.OS・ソフトウェアなどの定期的なアップデート

OSやソフトウェアの定期アップデートは、基本的なセキュリティ対策として必ず実施しましょう。

OSやソフトウェアに残存する脆弱性(セキュリティ上の欠陥)は、攻撃者の不正アクセスやマルウェア感染における格好の標的となります。定期的なアップデートを行うことで、リリース時に含まれる未知の脆弱性を修正し、攻撃リスクを低減します。

また、アップデートには最新のセキュリティ技術や防御機能が含まれることもあるため、最新の攻撃手法に対応する目的でも重要です。

3.多要素認証の導入

パスワードの強化に加えて、多要素認証(MFA)の導入も効果的です。

多要素認証とは、①知識情報(パスワードなど)、②所持情報(スマートフォンなど)、③生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。

▼多要素認証のイメージ
多要素認証のイメージ(パスワード入力⁺ワンタイムパスワードや生体認証)
万が一パスワードが漏洩した際も、不正アクセスのリスクを大幅に低減します。

関連ページ

例でわかる!多要素認証(MFA)とは?仕組みや種類・二段階認証との違いをわかりやすく解説

4.アンチウイルスソフトの導入

情報窃取型のマルウェアに感染することで、デバイスやブラウザ内に保存された機密データや個人情報が盗まれます。信頼性の高いアンチウイルスソフトを導入し、侵入を未然に防ぐことが欠かせません。

エンドポイントを監視する「EDR」を掛け合わせることで、PCやスマホのマルウェア対策をより強固なものにできます。

関連ページ

アンチウイルスとは?機能や最新の検知方法・選び方などをわかりやすく解説

関連ページ

EDRとは?EPPやXDRとの違いや機能をわかりやすく解説

5.従業員への情報セキュリティ教育の実施

企業・組織では従業員のセキュリティ意識・リテラシーの向上と均一化を図るため、定期的なセキュリティ教育の実施が不可欠です。

情報漏洩の要因となる「フィッシングメールへの対応」や「機密情報の不正な持ち出し」「USBなど外部媒体の取り扱い」など、基本的なセキュリティ習慣について確認や訓練の機会を設けましょう。

関連ページ

情報セキュリティ教育の必要性とは?具体的な実施手順も解説

企業のプライバシー保護対策なら
「LANSCOPE エンドポイントマネージャークラウド版」

MOTEX(エムオーテックス)では、IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャー クラウド版」を提供しております。

LANSCOPE エンドポイントマネージャー クラウド版には、企業・組織のプライバシー保護や情報漏洩対策に有効な以下の機能が備わっています。

▼機能の一例

  • 1. PC・スマホの「操作ログ」を自動で取得
  • 2. PC・スマホ・タブレットの利用状況を「レポート」で見える化
  • 3. あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
  • 2. 万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
  • 3. Windowsアップデートの管理

など

内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。情報漏洩につながる従業員の不正操作を早期に発見し、インシデントを防止します。

またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、カンタンに把握できます。

万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者からプライバシーや企業機密に関する情報が閲覧されるリスクを防ぎます。

LANSCOPE エンドポイントマネージャー クラウド版の詳しい機能については、以下の製品ページよりご覧ください。

関連ページ

LANSCOPEエンドポイントマネージャークラウド版について

まとめ


本記事では「プライバシーの保護」をテーマに、その重要性やプライバシーが侵害される原因、保護するための対策などを解説しました。

本記事のまとめ

  • プライバシーとは「個人的な情報を第三者に侵害されない権利」あるいは「他人に知られたくない情報」のこと
  • 個人情報が「個人を特定できる客観的な情報」であるのに対し、プライバシーは「主観で判断される権利もしくは情報」という違いがある
  • プライバシーにかかわる個人情報の漏洩は「アカウントの乗っ取り」「金銭的な損失」「詐欺やスパムメール被害」などを招くリスクがある
  • 企業のプライバシー保護には「OS・ソフトウェアの定期アップデート」「ログ取得や監視」「アンチウイルスの導入」「従業員への情報セキュリティ教育」などが有効

プライバシー保護は、個人の尊厳を守るだけでなく、安全な情報社会の実現、また会社が顧客からの信頼を維持する上でも欠かせない課題です。改めて自身や組織のプライバシー保護における対応・リテラシーについて、見直してみてはいかがでしょうか。

【ログ活用の最新トレンド】
これから始める操作ログ活用ガイド

ログ管理の活用シーン、具体的な活用ステップなどを解説。
「取得したログを活用できてない」という担当者様、必見の一冊です。

資料をダウンロードする

関連する記事