インシデント事例紹介とその対策~関連法規編<個人情報保護法>~
個人情報保護法(個人情報の保護に関する法律)は、2003年5月23日に成立し、2005年4月1日に、完全施行されました。
個人情報保護法の主な内容
個人情報保護法の構成
- 第1章 定義
- 第2章 国および地方公共団体の責務等
- 第3章 個人情報保護の保護に関する施策など
- 第4章 個人情報取扱事業者等の義務
- 第5章 雑則
- 第6章 罰則
- 附則
最低限何をしなければならないか
- 「利用目的の特定」 (第15条)
- 「利用目的による制限」 (第16条)
- 「取得に際しての利用目的の通知等」 (第18条)
- 「適正な取得」 (第17条)
- 「安全管理措置」(第20条)
- 「従業員の監督」(第21条)、「委託先の監督」(第22条)
- 「第三者提供の制限」(第23条)
- 「保有個人データに関する事項の公表等」(第24条)
- 「開示」(第25条)、「訂正、追加、削除」(第26条)、「利用停止」(第27条)
組織として遵守することは
- 不正な手段で個人情報を得てはならない。
- 取得する場合、利用目的を公表する。
- 本人の同意を得ずに第三者に公表してはならない。
- 本人からの開示請求、変更要求、削除要求があれば応じる。
- システム、運用体制を強化する必要はあるかを検討する。
- 漏えい防止対策が図られているかが問われる。ファイアウォール等によるアクセス制御、ID/パスワードによる認証、データの暗号化、アクセス履歴の管理、セキュリティポリシーの策定とその運用等が適切に行われているか、形骸化していないか等。
- 情報取扱者を特定する、個人情報を管理するシステムを特定する。誰でもアクセス可能な状態は論外。
罰則は
- 不正利用があると申告があった場合、主務大臣が介入・指導する。
- 指導に従わなかった場合、6ヶ月の懲役または30万以下の罰金が課せられる。
- 法的罰則よりも、組織の信用失墜の損害の方が甚大
- 罰則は組織内個人にも及ぶ
損害賠償訴訟への影響は
- 日本ネットワークセキュリティ協会による試算で、事故一件あたり平均約27.9億円(被害者数37,554人を想定)の慰謝料と想定されている。一人あたりの平均損害賠償額は約3.9万円(漏えいした内容に依存する)である。