情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【前編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【前編】

特集 特集

 本連載では、情報セキュリティの大潮流について解説していきます。連載では、情報セキュリティの進化の中、10大潮流を取り上げ、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。

 10大潮流は「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説していきます(*参考1)。第2回目は、第2の大潮流として「情報漏えいへの社会的取り組み」について説明します。

*参考1
http://www.nttdata-sec.co.jp/article/security/090715.html

■■ セキュリティ管理の確立【カテゴリ1】 ■■
第2の潮流「情報漏えいへの社会的取り組み」

 前回のコラムでは、第1の潮流「情報セキュリティ評価・認定フレームの確立」の中でISMS適合性評価認定制度について説明しましたが、このISMS適合性評価認定制度の確立と同時期に、個人情報の漏えいにかかわる「個人情報保護法」、営業秘密の漏えいにかかわる「不正競争防止法」が相次いで制定されました。これらの情報漏えい防止に関する法律の制定により、情報漏えいにかかわるセキュリティ管理がわが国において定着してきたといえます。

1.世界的な個人情報保護の流れ

(1)OECD(経済開発協力機構)の動き

 1972年スウェーデンでは、世界で初めて個人情報保護に関する法律を制定させました。その後相次いで米国、カナダ、ドイツ、フランス、オーストリア、デンマーク等が個人情報を保護する法律を制定しています。しかし、各国で制定された法律の内容に違いがあったために、OECDがプライバシーおよび個人情報保護の統一基準を1980年にガイドラインとして制定し、OECDの加盟国はガイドラインの中にある8原則を最低限の基準として満たすことが求められました。

―8原則―
収集制限の原則、データ正確性の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則

(2)EU(欧州連合)の動きと日本へのインパクト

 1995年EUは、個人データ保護指令を出し、EU域内各国に個人情報保護のための法律や制度を準備するように要求しました。この指令では、個人情報の保護が十分でない国に対して個人情報を提供してはならないとする厳しいものでした。

 この諸外国の動きは、日本が個人情報保護に関する法律や制度を整えなければ、各国と個人情報のやりとりが前提となる商取引ができないことを意味していました。そこで日本でも2003年に個人情報保護法を制定し、各省庁や団体が個人情報保護法を基に関連事業者に対応したガイドラインを公表しました。なお、行政機関が保有する個人情報に関しては、1988年に行政機関個人情報保護法が制定され、多くの自治体で個人情報保護条例が作られています。

2.個人情報保護法

(1)個人情報の保護の本質

 個人情報保護法の第一章総則「目的」では、「高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大している」との観点から「(抜粋)個人情報を取り扱う事業者の遵守すべき義務を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護する」としている。ここで注目すべきは個人情報の有用性について配慮しつつ、としていることです。もう少し積極的な言い方をすれば「個人情報をうまく活用するために、然るべく個人情報を保護する義務を負う」と捉えるべきでしょう。

 情報漏えいによる事業者の経済的損失、また一旦失った信用やブランド価値の再構築も難しいこと等から、どうしても各事業者は「情報を守る」ことだけに目が行きがちになります(ある意味過敏になっていると言えるかもしれません)。「危ないからできる限り個人情報は収集しないように!収集したものは即廃棄するように!」という話もよく聞きますが、「情報を適切に生かすこと」が情報セキュリティの大きな目的の1つであることを忘れないようにしたいものです。

(2)個人情報保護法の概要

 個人情報保護法は、個人情報保護のために制定された事業者に対する個人情報保護の義務を規定した法律です。その主な項目は、「利用目的を特定すること」、「目的以外に利用してはならないこと」、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないこと」、となっています。個人情報とは、個人を特定できる氏名はもちろん、画像や音声などのように、他の情報と比較することにより個人を特定できるものも含まれます。また、顧客情報のみならず…

【執筆:NTTデータ・セキュリティ株式会社
エグゼクティブ・セキュリティマネージャ 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. [数字でわかるサイバーセキュリティ] FormBook、圧縮ファイル添付攻撃で日本も上位10位内の標的国に

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×