情報セキュリティマネジメント試験 平成30年春(2018)午後 ①個人情報保護に関する法律

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 要配慮個人情報の取扱い
  2. モバイルPCに関する情報セキュリティ対策
  3. 匿名加工情報について



はじめに、架空の会社 W 社の説明

W 社は、ヘルスケア関連商品の個人向け販売代理店であり、従業員数は 300 名である。組織は、営業部、購買部、情報システム部などで構成される。営業部には、営業企画課、及び販売業務を行う第 1 販売課から第 15 販売課までがある。
W 社委員会は、2015年に改正された個人情報の保護に関する法律への対応の準備を各部で開始することを決定し、情報セキュリティリーダの N課長が S 課長の支援を受けて保護法への対応の準備を進めることになった。
国の個人情報保護委員会が定めたガイドラインのうち、通則編および匿名加工情報編の対応は必要であるが、それ以外の保護法ガイドラインへの対応が必要な事業は実施していないことを確認した。

データベースの項目に関する調査及び検討

営業部が主管するデータベースのうち、保護法への対応が必要なものには、[顧客情報DBの項目及びデータ型]と[販売履歴情報DBの項目及びデータ型]がある。これらを調査した。

肌質という項目には、アトピー性皮膚炎などは、本人に対する不当な差別、偏見その他の不利益が生じないように要配慮個人情報として特に注意して取り扱わなければいけません。
保護法及び保護法ガイドラインによれば、要配慮個人情報が含まれない場合、利用目的の明示が必要で、要配慮個人情報が含まれる場合は、本人の同意を得ることが必要です。

ただ、本人から適正に直接取得する場合、本人が提供したことをもって同意を得たと解されます。
又、法令に基づき取得する場合で、会社が労働安全衛生表に基づき従業員の健康診断を実施、病状、治療などの情報を健康診断実施機関から取得する時は、本人の同意を得る事は不要です。

PCに関する情報セキュリティ対策の検討

W 社の営業スタイルは、主として訪問販売であり、紙媒体による提案資料の提示や多数のサンプル品の持参など、旧態依然としたものである。そこで営業部長は、売上拡大を図るために、営業スタイルの見直しと効果的なマーケティング計画の立案を N 課に指示した。
営業スタイルについては、N 課長は、モバイル PC を活用することによって見直しをすることにした。MPC には、SFA ツールを導入し、訪問先でも在庫確認処理、受注処理などを行えるようにする。

N 課長は、自社の営業部員が初めてもモバイル PC (MPC) を携行することになることから、他社で発生した MPC の紛失・盗難などの情報セキュリティ事故を踏まえた情報セキュリティ対策を検討する必要があると考S 課長の協力を得て MPC に関する情報セキュリティ対策をまとめてW社委員会に諮り承認を得た。

MPCに関する情報セキュリティ対策

1.営業部員がモバイル PC (MPC) を携行する際の紛失・盗難そのものを防止するための順守事項として MPC を携行しているときは、酒宴に参加しない、移動中、電車の中で MPC を網棚に置かない、営業車から離れるときは、短時間でも車両内に MPC を放置しないなどの周知徹底を行う。

2.外部記憶媒体から MPC を起動でき無いようにし、ハードディスクを抜き取りデータを読みとられないように自動的に暗号化を行うハードディスクを内蔵した MPC の採用する。

3.ハードディスクを抜き取られてもデータを読み取られないように OS へのログインの成功時に、 MPC に搭載されたカメラを使って操作者の写真を撮り、更にログインの成否をログに記録する。それらの記録データの削除には管理者権限を必要とするなど技術的な対策を行った。

さらに、N課長は、顧客情報DBのデータ全てを印刷した顧客リストを紛失し、漏洩の確認できていないものの、そのおそれがある場合や、システムへの登録前の顧客情報登録シートを、顧客の氏名順に重ねて置いていて盗難にあった場合など速やかに国の個人情報保護委員会報告する。と社内規定に盛込んだ。

マーケティング計画の立案の検討

Z 社は、様々な業界のデータを保有する DB 提供会社である。N 課長は、1 か月分の販売履歴情報 DB 及び当該月末時点の顧客情報 DB のデータを併合し匿名加工情報に加工したものを、翌月 10 日までに Z 社に提供することにした。

特定の個人を識別できる情報から、氏名は削除し、住所は記述の一部を削除します。又、極端に販売数量が大きい注文の販売履歴情報については、販売数量をあらかじめ定めた上限値に置き換えます。必要に応じて他の加工も行います。ただし、下記のように
・顧客番号について、乱数などの他の記述を加えたうえで、ハッシュ関数を使って変換する。
・生年月日について、月日を削除して生年だけにする。
・肌質について、特異なケースを除外するために、あらかじめ定めたしき値よりも該当レコード数が少ない病歴の場合は、当該レコードを削除する。
・販売年月日について、日を削除して販売年月だけにする。
など、当社のマーケティングにも有効な分析ができる匿名加工情報であることが必要です。

ところで、Z 社に匿名加工情報を取り扱ってもらう際の注意として、識別を設ける。照合すること。加工方法をに関する情報を取得する。などは業務規程で禁止されいます。



関連する用語

要配慮個人情報
偏見や差別につながりやすい人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などの個人情報が要配慮個人情報です。

匿名加工情報
特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。

機微情報
あまり知られたくないこと。輸出の際に機微という言葉が使用される。センシティブ情報も同じ

 




学習の確認

  1. 要配慮個人情報の取扱い
  2. モバイルPCに関する情報セキュリティ対策
  3. 匿名加工情報について