IT資産管理

対策はできている?改正個人情報保護法 「5,000件要件の撤廃」「外国の第三者への提供制限」

「個人情報保護法」が改正されることをご存知でしょうか?2005年4月に全面施行された個人情報保護法。あれから10年以上。急速にIT技術も発展し、制定当時には想定されていなかった問題も顕在化しています。このような状況を受け、個人情報保護法が2017年5月30日に改正全面施行されます。

今回は、改正のポイントとLanScopeでできる活用方法の一例をご紹介します。

000

 

改正のポイントを理解し体制を整えましょう

ここでは改正のポイント3点をご紹介。LanScopeの活用方法の一例をご案内します。

【1】改正のポイント1「個人識別符号」

今回の法改正では「個人情報」に「個人識別符号」が新たに設けられています。これによって、時代の変化にあわせて保護対象を明確にしています。

「個人情報」とは
個人情報とは、生存する個人に関する情報のことで、氏名、生年月日、その他の記述により特定の個人を識別することができるものをいいます。

 

「個人識別符号」とは
(1)身体の一部の特徴をデータ化した文字、番号、記号その他の符号
例:指紋認識データ、顔認識データ、DNA
(2)サービス利用者や個人に発行される書類等に割り当てられた文字、番号、その他の符号
例:運転免許証番号、マイナンバー、基礎年金番号、健康保険証番号など

また、個人情報検出ソリューションと連携させれば、PC・サーバーにある個人情報検出・自動対処を行うことでファイルの内容や属性情報をもとに保管ルールに違反している個人情報ファイルを検出し、然るべき対処を施す個人情報ファイル管理を行う事も可能です。

002

LanScope Catと連携している個人情報検出ソリューション
■個人情報検出ツール「すみずみ君」[参照元:三菱スペース・ソフトウエア株式会社]
https://www.sumizumikun.jp/cooperation/lanscope_cat/

■個人情報検出「P-Pointer File Security」[参照元:アララ株式会社]
https://www.arara.com/news/press/entry4971/

改正のポイント2「5,000件要件の撤廃」 と「安全管理措置」

これまでは、取り扱う個人情報の数が5,000件以下の事業者(小規模取扱事業者)は規制対象外でした。しかし今回の改正では、この「5,000件要件」は撤廃され、 一部(※1)を除くすべての事業者が個人情報取扱事業者として改正法の適用を受けることになります。(第2条5項)

個人情報取扱事業者は、「安全管理措置」を実施することが求められます。(第20条)安全管理措置には、「組織的」「人的」「物理的」「技術的」の4つの側面があります。この中で、LanScope Catが役立つのは、「人的」と「技術的」においてです。それぞれ、具体的には以下のような措置を実施することが求められています。(※2)

※1:義務規定の適用除外
(1)報道機関が報道活動の用に供する目的
(2)著述を生業として行うものが著述の用に供する目的
(3)学術研究機関等が学術研究の用に供する目的
(4)宗教団体が宗教活動の用に供する目的
(5)政治団体が政治活動の用に供する目的

※2:参照情報
個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン
[平成28年12月28日 厚生労働省・経済産業省告示第2号]
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/161228kojoguideline.pdf

 

◆人的安全管理措置

「人的安全管理措置」対策として、従業者に対する内部規定等の周知・教育・訓練の実施をしましょう。そこで、まずおススメしたいのがMOTEXが提供している「セキュリティブック」です。

2017年2月23日より提供開始した本書は全ページWebからPDFを無料ダウンロードできます。また、本書を元にした社内や学校などでセキュリティの研修で活用できる「講師用資料」と、その後の復習に活かせる「テスト」も無料でPDFを公開しています。

■MOTEXが提供している「セキュリティブック」をお役立てください。
 http://www.motex.co.jp/vision/enlightenment_activity/education_book/

002

 

全ての問題を情報システム部門だけで対応しても、なかなか難しいです。そこで、LanScope Catのアラームメールを使って、社内の問題を各部門で管理することで、組織の全員参加で効率よく解決することができます。

■LanScope Cat 保守ユーザー様向けサイトの「猫ナビ」をお役立てください
 https://tryweb2.motex.co.jp/cat/nekonavi/ver8/security/05/index.html

◆技術的安全管理措置

「技術的安全管理措置」対策としてLanScopeで3つの対策をご紹介します。

対策 詳細
不正ソフトウェア対策 ・ウイルス対策ソフトウェアの導入および当該ソフトウェアの有効性・安定性の確認
例:パターンファイルや修正ソフトウェアの更新の確認
・組織で許可していないソフトウェアの導入防止のための対策
アクセスの記録 個人データへのアクセス状況(操作内容も含む)の監視
情報システムの監視 個人データを取り扱う情報システムの使用状況の定期的な監視

■【不正ソフトウェア対策】プロテクトキャットで未知のマルウェア検知
LanScope Catのマルウェア対策「プロテクトキャット」であれば、パターンファイルに頼らず、未知の脅威対策ができます。 人工知能により99.7%という高い検知率を実現しています。
>>プロテクトキャットご紹介サイト

■【不正ソフトウェア対策】LanScope Cat導入事例
LanScope Catで許可していないソフトウェアの導入を定期的に確認している事例
>>株式会社千代田テクノル様 導入事例

また、情報システムの監視としてLanScope Catでアプリの稼働回数や稼働時間を集計を確認できます。この時、通常業務で利用するアプリをフィルターすることで、不正なアプリの稼働状況のみを把握するのに役立ちます。LanScope Cat保守契約ユーザー様向けサイトをご参照ください。

■【情報システムの監視】LanScope Catの「アプリ稼動集計」
アプリ稼動集計で不正アプリの稼動状況を把握できます。
>>『猫ナビ』特定のアプリの利用履歴を確認しましょう
■【情報システムの監視】LanScope Catの「ID監査キャット」
特定システムへのログインの履歴を把握できます。
>>LanScope Cat製品サイト「アプリID監査キャット」
■【情報システムの監視】LanScope Cat導入事例
LanScope Catでシステムログイン情報を把握している事例
>>株式会社ライフコーポレーション 様 導入事例

改正のポイント3「外国にある第三者への個人データ提供」

現行の個人情報保護法でも、原則として、あらかじめ本人の同意を得ないで第三者に個人データを提供してはならないとされています。(23条)この「第三者」とは、日本国内の者か外国にある者かは問わず適用されます。

この改正の背景には、EUの「一般データ保護規則(GDPR)」の存在があります。「一般データ保護規則(GDPR)」は、2018年5月25日から全てのEU加盟国に直接適用されますが、日本はEUから十分な個人情報保護レベルを満たしていると認定(※3)されていません。
※3:十分性の認定

今回の個人情報保護法の改正には、日本企業のグローバル化も背景にあります。例えば、海外支店や駐在員事務所への個人データの提供は「外国にある第三者」への提供には該当しません。この場合は、保護法23条、24条のいずれも適用されず、「利用目的」の範囲内であれば個人データを利用することが認められます。

一方、同一グループの会社でも、日本国外にある会社(現地法人)は「外国にある第三者」に該当します。この場合、保護法23条1項の「本人の同意」がある場合でも、保護法24条の「外国にある第三者への提供を認める旨の本人の同意」がなければ外国にある第三者への個人データ提供はできません。

003

 

個人情報保護をはじめとした情報セキュリティは、いまや世界規模で取り組む課題です。MOTEXのビジョンとして「Secure Productivity(セキュア プロダクティビティ)」を掲げています。「Secure Productivity」とは安全と生産性を同時に追求するという意味です。セキュリティはグローバルなものと捉え、今後も最適なソリューションを提供していきます。

※本記事に関するLanScope Catの製品仕様・画面は掲載日時点の情報です。

nakano-150x150

この記事を書いた人
伊原 進司
2005年入社 ITサービス本部 アカウントサービス部 部長。セールスエンジニアとして多くの現場でLanScopeの提案、導入設計、運用支援を担当。2017年4月より現職。マイナンバー対応個人情報保護士。好きな食べ物は「ナス」と「ショウガ」