個人情報保護法Web講座

広告枠・・・広告やリンク先の保証はしません


情報漏えい時の個人情報取扱事業者の義務とは? その2

個人情報取扱事業者の義務」の概略については、既にお話しました。
この「個人情報取扱事業者の義務」の中から、全6回にわたって、情報が漏えいなどした時の義務についてお話をしています。
今回はその第2回目です。

苦情処理に関する個人情報取扱事業者の義務
  1. 取得
  2. 利用
  3. 保管
  4. 監督
  5. 提供
  6. 情報管理
  7. 苦情処理
  8. 漏えい・滅失・毀損

漏えいなど

漏えいなどに関する義務です。
この義務は下記の2つに分かれています。
  1. 漏えいなどの事案が発覚した場合に行うべき措置
  2. 個人情報保護委員会等への報告

前回、「漏えいなど」の対象となる事案についてお話しましたので、今回は義務の内容についてお話します。

漏えいなどの事案が発覚した場合に行うべき措置

行うべき措置の内容は次のとおりです。
  1. 事業者内部における報告及び被害の拡大防止
  2. 事実関係の調査及び原因の究明
  3. 影響範囲の特定
  4. 再発防止策の検討及び実施
  5. 影響を受ける可能性のある本人への連絡等
  6. 事実関係及び再発防止策等の公表
順番にお話します。
長くなるので、複数回に分けてお話します。 初回は、「事業者内部における報告及び被害の拡大防止」ついてお話します。

事業者内部における報告及び被害の拡大防止

ここで行う措置は次の2つです。
  1. 責任ある立場の人に情報漏えいなどが起こった事を報告
  2. 被害が拡大しないような措置を行う

責任ある立場の人に情報漏えいなどが起こった事を報告

責任ある立場の人」とは、情報漏えいなどが起こった時に指揮を執るような人です。
指揮する人に情報が渡らなければ指揮を執りようがありません。
このため、「社長でなければならない」などと役職は決まっていませんが、指揮を執れるような役職であった方が良いです。
この「責任ある立場の人」から必要に応じて社長などへ伝えるような体制を決めておきましょう。

被害が拡大しないような措置を行う

被害が拡大しないような措置」と言っても抽象的なので、例を挙げてお話します。
例えば、会社のPCがウィルスなどに感染した場合でお話します。
感染したウィルスが情報を外部に送信して盗み出すとしましょう。
また、ウィルスが他のPCに感染する能力があるとします。
この場合、ウィルス感染の拡散防止のため、また、それ以上の情報送信を防止するため、該当PCをネットワークから切り離す=ネットワークケーブルを抜いたり、無線LANを接続できないようにします。
このような措置を行えば、それ以上、被害が拡大することはないでしょう。

実際には、ウィルス感染が最初にわかるのではなく、情報が外部に送られているという事象がわかります。
どこから外部に送られているかを調査すれば、該当PCがわかりますので、そのPCをネットワークから切り離すことになります。

一例としてネットワークからの切り離しをお話しましたが、起こっている事象から「被害が拡大しないために必要」と考えられることを行うようにします。

次回は、「事実関係の調査及び原因の究明」以降のお話をします。

タグ:, , ,


広告枠・・・広告やリンク先の保証はしません

参考記事(一部広告含む)


このページの記事についてちょっと質問!