情報セキュリティ確保のための作業
一般的に、情報セキュリティ対策は次のような流れでおこないます。
- 情報セキュリティ基本方針の策定
- リスク分析の実施とリスク対策の検討
- 情報セキュリティ対策基準の策定
- 情報セキュリティ対策の実施
- 監査・見直し
情報セキュリティ基本方針を策定することがセキュリティ対策の第一歩ということになります。
情報セキュリティポリシーとは
「情報セキュリティ基本方針」「基準・ガイドライン」「実施手順・マニュアル」からなる文書群です。
情報セキュリティ基本方針
この文書はいわば個人情報保護に対する代表者の決意表明です。したがって、法律で公開を義務づけられてはいないものの、対外的に公表すべき文書とされています。
具体的には「当社は情報セキュリティの重要性を認識します。」「当社は適切な情報セキュリティ管理体制を構築します。」など、情報セキュリティに対しどのような姿勢で臨むのかを組織の内外に宣言する形で記述されます。
ただ、いくら決意表明といっても最低限、個人情報保護法などの法令や個人情報保護委員会のガイドラインに準拠したものである必要があります。これらをおさえた上で組織文化などを反映した自社独自のものを作成するべきです。
経済産業省が出したガイドラインには個人情報保護方針に盛り込むべき事項が明示されていました。中でも「保有個人データに関する項目(法令によって「本人の知りうる状態」におくことが義務づけられていること)」が重要で、46回試験、47回試験で出題されているので確認しておきましょう。
本人の知りうる状態におくことを義務づけられている項目
- 自己の氏名または名称
- 利用目的
- 開示等の要求に応じる手続と手数料(定めた場合)
- 取扱いに関する苦情の申し出先
*経済産業省のガイドラインの記述は頻出事項です。個人情報の取扱いに関する勧告・命令権限が個人情報保護委員会に集約されたため、同ガイドラインは平成29年5月30日をもって廃止されました。しかし、同ガイドラインの内容が陳腐化したわけではありません。筆者は依然として重要な文書と考えています。
基準・ガイドライン
「規程」とか「規則」とか組織により呼び方はさまざまでしょうが、要は基本方針で宣言した内容を実現するための文書化されたルールです。個人情報保護方針をブレイクダウン(具体化)する形で規程します。
基本方針と異なりこちらは機密文書です。これを公表してしまったら手順の不備・盲点をつこうとする悪い人に手がかりを与えることになりますから。
作成上の注意は個人情報保護対策をすべて網羅しているということです。ここでヌケ・モレがあると事故のもとになります。
また、非現実的なルールは無意味ですし、形骸化のもとにもなるので実情に即したものを策定すべきです。そのためには事前に現場へヒアリングするなどして実態を把握することが重要となります。
実施手順・マニュアル
上記の基準・ガイドラインをさらに具体化したものです。
規程はある程度抽象的に記述せざるをえない面がありとっつきにくいものでもあります。
「読んだけどよくわかりませんでした」「なんだかめんどくさそうなので実は読んでいません」では意味がありませんので、何をどのようにすれば正しい手順となるのかをわかりやすく説明する文書があるといいですよね。実施手順・マニュアルはそのような目的で作成されるものです。
そのような目的からすると、ケース事例を多く入れるのが望ましいとされています。
個人情報保護方針との関係
情報セキュリティ基本方針は、すべての情報資産の安全管理のために策定されるものです。「すべての情報資産」ですから個人情報も当然含まれてはいます。
しかし、個人情報の取扱いについては個人情報保護法で要求されている事項(たとえば取得の際に利用目的を通知あるいは公表しなさい、とか)がありますので、ひとつの文書にまとめようとすると非常に読みにくく、分かりにくいものになります。
そこで、情報セキュリティ基本方針と個人情報保護方針は、目的は共通しているものの個別に作成するのが一般的です。