Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
目 次
2022年4月施行の「改正個人情報保護法」とは
個人情報保護に欠かせない4つの安全管理措置
LANSCOPEクラウド版で対策する個人情報保護対策
(1)LANSCOPEクラウド版で行う「組織的安全管理措置」
(2)LANSCOPEクラウド版で行う「人的安全管理措置」
(3)LANSCOPEクラウド版で行う「物理的安全管理措置」
(4)LANSCOPEクラウド版で行う「技術的安全管理措置」
情報システム担当者 1,000人に聞いた!
“IT資産管理ツールのクラウド移行”実態調査
8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。
2022年4月、改正個人情報保護法が施行されました。今回の改正では個人情報のあり方が見直され、これまでは問題がなかった取り扱いも違反となる可能性があります。
多くの企業が改めて個人情報の取り扱いを見直すことが求められる今回の改正。すでに個人情報取り扱いの『ルールを再策定』された企業様は多くいらっしゃると思いますが、意外と忘れがちなのが、取得した個人情報の保護です。
今回は、ルールだけでは守るのが難しい個人情報を、具体的にどのように保護していけばよいかLANSCOPEクラウド版の活用例をもとにご紹介します。
2022年4月施行の「改正個人情報保護法」とは
今回の改正では、昨今の情勢に合わせて個人情報の定義などが見直されています。加えて漏えい時には「報告が完全義務化」、対応違反者には「厳罰」(最大1億円)が科されるなど、より取り扱いに厳密さが求められます。
主な改正箇所
1.個人の権利の在り方
2.事業者の事務の在り方
3.事業者によるに自主的な取組を促す仕組み在り方
4.データ利活用の施作
5.ペナルティの強化
6.法の域外適用・越境移転
1.個人の権利の在り方
2.事業者の事務の在り方
3.事業者によるに自主的な取組を促す仕組み在り方
4.データ利活用の施作
5.ペナルティの強化
6.法の域外適用・越境移転
例えば、Webセミナーなどの申し込みフォームの利用目的に「お客様のサービスの向上のため」と書かれているフォームをよく見かけますが、今回の改正では、取得した個人情報の利用目的をできる限り特定するように定められています。そのためこの場合、もっと具体的な目的を記載する必要があります。(第15条)
他にもWebマーケティングの目的でCookie情報を取得・活用する企業が増えていますが、Cookieに対して明確な規定が設けられることになります。CRMなどの営業管理ツールと紐づけ、個人が特定できる運用を第三者に提供する場面がある場合、個人情報保護法の規制対象となるため、Cookie情報取得ポップアップツールなどの対策が必要です。(第26条)
このように今回の改正に伴い、現在の管理ルールを再策定したり、Webサイトの表記を更新するなどの対応が求められています。
個人情報保護に欠かせない4つの安全管理措置
今回の改正では個人情報の定義やルールがメインのため、ルール見直しと改善にフォーカスされがちですが、重要なのは、「取得した個人情報」の保護です。
今回の改正でも、取得した個人データを安全に保護するよう示されており、ルール見直しに加え、取得した個人データをしっかり保護する必要があります。
| 第二十条=安全管理措置 | 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
|---|
また今回の改正により、万が一、情報漏えいが発生してしまうと報告義務が発生します。さらに報告義務違反や虚偽の報告や隠蔽、個人情報保護委員会の指導に従わない場合などには、最大1億円の罰則が課される恐れがあり、知らなかったでは済まされません。
改正個人情報保護法では、個人情報を漏えいさせず、万が一の際もデータを守ることができる「体制構築」が求められています。その指標として4つの「安全管理措置」ガイドラインが設けられています。
<改正個人情報保護法に定められた安全管理措置>
| (1)「組織的安全管理措置」 | 組織体制の整備/個人データの取扱いに係る規律に従った運用/個人データの取扱状況を確認する手段の整備/漏えい等の事案に対応する体制の整備/取扱状況の把握及び安全管理措置の見直し |
|---|---|
| (2)「人的安全管理措置」 | 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。 |
| (3)「物理的安全管理措置」 | 個人データを取り扱う区域の管理/機器及び電子媒体等の盗難等の防止/電子媒体等を持ち運ぶ場合の漏えい等の防止/個人データの削除及び機器、電子媒体等の廃棄 |
| (4)「技術的安全管理措置」 | アクセス制御/アクセス者の識別と認証/外部からの不正アクセス等の防止/情報システムの使用に伴う漏えい等の防止 |
LANSCOPEクラウド版で対策する個人情報保護対策
安全管理措置対応は、ルール策定に加えツールを活用して対応します。今回はツールで対応できる範囲を、PC・スマホを一元管理できるエンドポイント管理「LANSCOPEクラウド版」を例にご紹介します。LANSCOPEクラウド版では4つの安全管理措置に対応することが可能です。
・「組織的安全管理措置」のための現状把握
・「人的安全管理措置」におけるセキュリティ啓蒙
・「物理的安全管理措置」における持ち出し対策
・「技術的安全管理措置」における制御などの対策
安全管理措置対応についてまとめた動画を公開していますので、是非ご覧ください。
ここからは、動画の内容を何点かピックアップしてご紹介します。
(1)LANSCOPEクラウド版で行う「組織的安全管理措置」
ここでは安全管理措置を実施するための組織体制整備が求められています。LANSCOPEクラウド版では、デバイス上の操作ログを自動取得。セキュリティリスクに抵触する操作を行った場合、該当デバイス上にリアルタイムにポップアップで警告通知を行うことが可能です。
(2)LANSCOPEクラウド版で行う「人的安全管理措置」
ここでは、個人データの適正な取扱いを周知徹底・教育することが求められています。
LANSCOPEクラウド版では、違反操作に対してポップアップ通知を行うことができ、さらに企業のセキュリティ教育に役立つ「セキュリティブック」もご用意しています。セキュリティを誰でも分かりやすく解説した一冊となっており、Amazonランキング1位も獲得したことのあるガイドブックとなっています。またこのセキュリティブックを元にしたセキュリティ研修時に活用できる「講師用資料」や、「テスト」を無料でDLできますので、セキュリティ研修の負担を軽減することができます。
「セキュリティ 7つの習慣・20の事例」PDFデータは、無料でDLできます
http://www.motex.co.jp/vision/enlightenment_activity/education_book/
http://www.motex.co.jp/vision/enlightenment_activity/education_book/
(3)LANSCOPEクラウド版で行う「物理的安全管理措置」
ここでは、媒体の盗難防止や容易に個人データが判明しないよう安全な方策を講じなければならないとされています。LANSCOPEクラウド版では、脆弱なパスワード利用を防ぐパスワードポリシーの設定が可能です。また盗難・紛失対策として、Windowsデバイスの暗号化機能「Bitlocker」の設定有無の把握から復元キーの一元管理、位置情報や移動履歴の取得、リモートロック・ワイプを実行できる機能を搭載しています。
(4)LANSCOPEクラウド版で行う「技術的安全管理措置」
ここでは、外部からの不正アクセスやリスクのある操作を制御し、情報漏えいを防ぐ体制構築を求められています。LANSCOPEクラウド版では、リスクの高い操作を制御したり、外部からの不正なアクセスに対し遮断※を行うことも可能です。また、リスクを下げる最も基本的な対策は、利用しているデバイスのOSを最新の状態に保つことです。LANSCOPE クラウド版は、一目で最新のOS・パッチが適用されていないデバイスを把握し、最新の状態にアップデートすることが可能です。 ※連携製品L2Blocker Cloudと連携が必要です
今回は一部機能をご紹介しましたが、LANSCOPEクラウド版では、改正個人情報保護法で求められている「安全管理措置」に対応しています。なお、安全管理措置の詳細な内容はホワイトペーパーにまとめていますので、ご参照ください。
今回の改正では、多くの企業が個人情報の取り扱いルールの再策定や、プライバシーポリシーの見直しを検討する必要があります。ルールの見直しはもちろん、今一度、取得した個人情報を守るための「安全管理措置」がしっかり整っているかどうか確認していただくことをおススメします。
LANSCOPEクラウド版は、サーバーの設置などが不要なため、すぐに運用を開始できます。デバイス管理の見直しも含め、ぜひこの機会にLANSCOPE クラウド版でのデバイス管理をご検討ください。
【いつでも動画視聴】弁護士が解説!
改正個人情報保護法対応<基本編>
2022年4月の改正個人情報保護法における改正ポイントをご紹介。取得した個人情報を守るための安全管理措置対応についても分かりやすくご紹介
関連する記事
