情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【前編】 | ScanNetSecurity
2024.05.06(月)

情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【前編】

 本連載では、情報セキュリティの大潮流について解説していきます。連載では、情報セキュリティの進化の中、10大潮流を取り上げ、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。

特集 特集
facebookLINE
 本連載では、情報セキュリティの大潮流について解説していきます。連載では、情報セキュリティの進化の中、10大潮流を取り上げ、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。

 10大潮流は「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説していきます(*参考1)。第2回目は、第2の大潮流として「情報漏えいへの社会的取り組み」について説明します。

*参考1
http://www.nttdata-sec.co.jp/article/security/090715.html

■■ セキュリティ管理の確立【カテゴリ1】 ■■
第2の潮流「情報漏えいへの社会的取り組み」

 前回のコラムでは、第1の潮流「情報セキュリティ評価・認定フレームの確立」の中でISMS適合性評価認定制度について説明しましたが、このISMS適合性評価認定制度の確立と同時期に、個人情報の漏えいにかかわる「個人情報保護法」、営業秘密の漏えいにかかわる「不正競争防止法」が相次いで制定されました。これらの情報漏えい防止に関する法律の制定により、情報漏えいにかかわるセキュリティ管理がわが国において定着してきたといえます。

1.世界的な個人情報保護の流れ

(1)OECD(経済開発協力機構)の動き

 1972年スウェーデンでは、世界で初めて個人情報保護に関する法律を制定させました。その後相次いで米国、カナダ、ドイツ、フランス、オーストリア、デンマーク等が個人情報を保護する法律を制定しています。しかし、各国で制定された法律の内容に違いがあったために、OECDがプライバシーおよび個人情報保護の統一基準を1980年にガイドラインとして制定し、OECDの加盟国はガイドラインの中にある8原則を最低限の基準として満たすことが求められました。

―8原則―
収集制限の原則、データ正確性の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則

(2)EU(欧州連合)の動きと日本へのインパクト

 1995年EUは、個人データ保護指令を出し、EU域内各国に個人情報保護のための法律や制度を準備するように要求しました。この指令では、個人情報の保護が十分でない国に対して個人情報を提供してはならないとする厳しいものでした。

 この諸外国の動きは、日本が個人情報保護に関する法律や制度を整えなければ、各国と個人情報のやりとりが前提となる商取引ができないことを意味していました。そこで日本でも2003年に個人情報保護法を制定し、各省庁や団体が個人情報保護法を基に関連事業者に対応したガイドラインを公表しました。なお、行政機関が保有する個人情報に関しては、1988年に行政機関個人情報保護法が制定され、多くの自治体で個人情報保護条例が作られています。

2.個人情報保護法

(1)個人情報の保護の本質

 個人情報保護法の第一章総則「目的」では、「高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大している」との観点から「(抜粋)個人情報を取り扱う事業者の遵守すべき義務を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護する」としている。ここで注目すべきは個人情報の有用性について配慮しつつ、としていることです。もう少し積極的な言い方をすれば「個人情報をうまく活用するために、然るべく個人情報を保護する義務を負う」と捉えるべきでしょう。

 情報漏えいによる事業者の経済的損失、また一旦失った信用やブランド価値の再構築も難しいこと等から、どうしても各事業者は「情報を守る」ことだけに目が行きがちになります(ある意味過敏になっていると言えるかもしれません)。「危ないからできる限り個人情報は収集しないように!収集したものは即廃棄するように!」という話もよく聞きますが、「情報を適切に生かすこと」が情報セキュリティの大きな目的の1つであることを忘れないようにしたいものです。

(2)個人情報保護法の概要

 個人情報保護法は、個人情報保護のために制定された事業者に対する個人情報保護の義務を規定した法律です。その主な項目は、「利用目的を特定すること」、「目的以外に利用してはならないこと」、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないこと」、となっています。個人情報とは、個人を特定できる氏名はもちろん、画像や音声などのように、他の情報と比較することにより個人を特定できるものも含まれます。また、顧客情報のみならず…

【執筆:NTTデータ・セキュリティ株式会社
エグゼクティブ・セキュリティマネージャ 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP