情報セキュリティコラム第29回

業務で扱う個人情報の増加に伴う
見落としがちなリスクと対策手順

製造・卸売・小売業の事例を踏まえて

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第29回 業務で扱う個人情報の増加に伴う見落としがちなリスクと対策手順

NECソリューションイノベータ株式会社 九州支社の北野博之です。
私は前職では日本情報処理開発協会(JIPDEC:現日本情報経済社会推進協会)に勤めておりました。その当時から、企業等が個人情報を適切に扱っている証明となる「プライバシーマーク制度」などに関わり、現職でもプライバシーマーク取得支援を中心としたコンサルティングサービスに携わっています。
近年、改正個人情報保護法の施行や、在宅勤務の普及、DX(デジタルトランスフォーメーション)の推進等により、個人情報への関心がますます高まっていると感じます。しかしその一方で、専門的な目で見ると、個人情報への理解やそのデータへのセキュリティ対策については、まだ十分に認知されていないように感じます。特に昨今はIoTを用いたビジネス展開から、これまで以上に個人情報を取り扱うケースも増えています。今回は特に製造業、卸売業・小売業にフォーカスしながら、ビジネスにおいて個人情報を扱うシーンの例や、情報セキュリティ対策の考え方や準備などを解説していきます。

個人情報の漏えい・紛失事故の現状

はじめに、個人情報の漏えい・紛失事故の状況を見ていきましょう。

2021年の情報漏えい・紛失件数

図1:2021年の情報漏えい・紛失件数
出典:東京商工リサーチ調べよりNECソリューションイノベータ作成 [1]

情報漏えい・紛失の原因を見ると、ウイルス感染・不正アクセスによるものが半数を占めます。1件でも事故が起きてしまうと大量の個人情報が流出してしまうため、特に電子データの個人情報の管理は重要です。事故が発生する理由としては、二つの共通する背景が考えられます。

①扱う個人情報が増えている

そもそもDX推進により、業務のデジタル化が進み、クラウド利用も増えているでしょう。また、IoTビジネスや、通販による直販業務など、個人情報を扱うケースは増加傾向にあると言って良いでしょう。

②個人情報を扱う意識が十分でない

扱う個人情報が増える一方で、その意識が十分でない、あるいは個人情報だと捉えていない可能性もあります。次に原因の産業別社数を見ると、どの産業においても個人情報の漏えい・紛失事故は起きていますが、もっとも発生企業数が多い産業は「製造業」(25.8%)です。以下、データ通信がビジネス基盤に置かれる「情報・通信業」(16.6%)、個人情報を扱うことの多い「金融・保険業」(13.3%)、そして4位には「小売業」(12.5%)が続いています。「卸売業」は7.5%、製造業、卸売・小売業の合計で45.8%と半数近くの事故が起きています。

プライバシーマーク取得企業は、情報サービス業を含むサービス業がその3/4を占めており、製造業は全体の約8%、卸売・小売業に至ってはさらに低く約6%という実態もあります(「プライバシーマーク付与事業者情報」一般財団法人日本情報経済社会推進協会、2022年9月30日より[2])

忘れがち・見落としがちな個人情報

では、実際にどのようなものが個人情報に当たるかなど、さらに理解を深めていきましょう。
前提として、個人情報保護と情報セキュリティ対策とは、やや意味合いが異なります。個人情報は、その取得から安全管理、第三者への提供、本人からの開示・削除請求への対応など、そのフェーズごとで扱いに留意しなければなりません。
そのうち、安全管理のフェーズが情報セキュリティ対策を講じる部分です。つまり、情報セキュリティ対策は個人情報保護の一部です。個人情報保護は紙媒体、電子媒体(データ)のいずれも対象ですが、ここでは電子媒体の個人情報を中心に説明していきます。

個人情報保護と情報セキュリティ対策

図2:個人情報保護と情報セキュリティ対策

以下、個人情報の取扱い業務とそのリスクなどを、ケース別に見ていきましょう。

【ケース1】通販サイト

通販で、自社から顧客へ商品配送を行う際には、個人情報を取り扱います。コロナ禍により、今まで一般消費者との接点が薄かった製造業や卸売業が通販に乗り出したケースも少なくないでしょう。新たに取得・管理する情報の把握が十分か、チェックしましょう。

通販サイトで扱う情報の例とチェックポイント

表1:通販サイトで扱う情報の例とチェックポイント

また、ビジネスモデルごとに、取り扱う個人情報に関するリスクが異なる点についても注意が必要です。

通販サイトで扱う情報の例(ビジネスモデルによる差異)

表2:通販サイトで扱う情報の例(ビジネスモデルによる差異)

【ケース2】IoT機器

一般消費者向けに、IoT機器を使ったサービスを展開する際には、個人情報を扱うことになるケースもあります。取得した各種情報をクラウドサービスと連携するスマートデバイスが増えていますが、これらのデータ集約や分析するサービスを行う際には、個人情報を扱うことになる場合があります。クラウドへ集約するデータの明確化、これらデータの集合体が個人を特定する可能性有無をチェックする、等の対策検討が求められるようになります。

IoT機器で扱う情報の例とチェックポイント

表3:IoT機器で扱う情報の例とチェックポイント

【ケース3】監視・録画用カメラ

工場や倉庫で監視カメラを利用している場合、基本的に画像で個人を識別できる場合は個人データに該当する可能性があります。また、カメラが物品の個体識別を行うためのものであっても、個人の顔が映り込んでいれば個人情報に該当する場合があります。

監視・録画用カメラで扱う情報の例とチェックポイント

表4:監視・録画用カメラで扱う情報の例とチェックポイント

【ケース4】工場・倉庫

意外かもしれませんが、工場や倉庫にも個人情報が存在します。電子データだけが個人情報に当たるわけではありません。プリントアウトした作業員名簿に加えて、万が一の事故に備えてヘルメットに記載されている名前と血液型も該当する場合があるので、十分に留意しましょう。
これらは紙やヘルメット本体に印字されている場合が多いと思いますので、物理的なセキュリティ対策(物の管理)が必要です。

工場・倉庫で扱う情報の例とチェックポイント

表5:工場・倉庫で扱う情報の例とチェックポイント

【ケース5】その他社員情報

従業者情報(インハウス情報)は個人情報に当たるものも多いでしょう。

従業者情報の例とチェックポイント

表6:従業者情報の例とチェックポイント

このように個人情報は至るところに存在していますので、取得・管理する情報を把握するのと同時に、十分な留意・対策が必要です。次項では個人情報を守るための対策についてステップを踏みながら説明していきます。

個人情報を適切に守るためには

①保護すべき個人情報を明確にする

まず、個人情報の情報セキュリティ対策(安全管理措置)を確認しましょう。個人情報保護委員会による「個人情報の保護に関する法律についてのガイドライン(通則編)」[3](以下「通則ガイドライン」)では「講ずべき安全管理措置の内容」として以下7つが挙げられています。


このうち「10-5.物理的安全管理措置」「10-6.技術的安全管理措置」は、現場レベルでの具体的な対策が必要です。それ以外の項目は組織全体での体制やルールの整備、見直し・情報収集です。電子データ(個人データ)に関連する「10-6.技術的安全管理措置」をさらに確認すると、4つの中項目に分類され、講じなければならない処置が説明されています。このように、個人情報の安全管理を実施するために、各項目の処置を確認しながら、組織としての対応を検討します。

技術的安全管理措置から講じなければならない処置

表7:技術的安全管理措置から講じなければならない処置
出典:通則ガイドライン「10-6.技術的安全管理措置」よりNECソリューションイノベータ作成

通則ガイドラインでは、データの暗号化保存については必須ではないとされていますが、アクセス制御として暗号化は万が一の漏えい時対策として有効です。アクセス制御ができない場合の例として、インターネット上の通信や、万が一の措置として「10-5.物理的安全管理措置」では、PCや電子媒体での持出時には暗号化が必要とされています。どこに個人データを保存するかによってセキュリティリスクは変わります。自社内でシステムを構築している場合はもちろんのこと、最近増えている外部のサイトやテナントを利用するケースでも対策は必要です。後者の場合、委託先管理の観点で、委託前に上記処置が適切に実施されているかを確認します。利用開始前と、利用開始後も定期的に確認(点検)しましょう。また、バックアップも含め、海外のサイトを使う場合は、利用者に対して、海外へ個人データを移転することや、その国名の明示が必要となる場合があります。移転先や移転先での取扱いの有無等で条件が変わりますので、通則ガイドラインで確認が必要です。

②“個人情報のライフサイクル”を確認する

個人情報保護を適切に行うためには、現状確認をします。つまり、個人情報ごとにどのように入手して、どのように社内で取り扱われ、社外に出ていくのか、いわゆる“個人情報のライフサイクル”を確認することが必要です。

個人情報のライフサイクル

図3:個人情報のライフサイクル

個人情報を、社外に持出し・社外へ送信する際は、リスクが高まるため、特に注意が必要です。個人情報を管理する上で「個人情報管理台帳」を作成しているケースも多いと思います。「個人情報管理台帳」には、取り扱う個人情報として、以下の内容を含めて整理した方がよいでしょう。


③リスクに応じた対策を検討する

②で“個人情報のライフサイクル”を確認することで、各種セキュリティリスクが把握できます。
一つの情報を複数の部署が別々にコピーして扱っていないか、紙に記された情報をたびたびデータ化していたり、逆にデータを紙に印刷したりしていないか、などを確認します。情報がコピーされていれば、セキュリティリスクは上がるため、それぞれ作業が本当に必要かどうかなど検討・判断します。結果的に「同じ情報だから一元管理しよう」ということになれば、セキュリティリスクの軽減と同時に、作業の手間を減らし、業務改善にもつながっていくという二次的な効果もあり得ます。

④マネジメントシステムを導入する

個人情報を適切に管理するためには、組織全体でマネジメントシステムの導入が必要です。具体的には、組織全体の個人情報保護責任者(CPO〈チーフ・プライバシー・オフィサー〉:個人情報保護担当役員)を定め、主管部門と組織全体・部門の体制を整備し、以下のような組織共通の規程類を整備することです。

個人情報保護ルール体系イメージ

図4:個人情報保護ルール体系イメージ

「図1」で見たとおり、情報漏えい・紛失事故のうちヒューマンエラーに起因する事故(誤表示・誤送信、紛失・誤廃棄)は4割を占めます。
ITで対応できないようなヒューマンエラーを防ぐには、作業手順書や操作マニュアルを整備することが必要です。すでに業務手順書がある場合には、そこにセキュリティ対策を追記しましょう。業務手順の要所でセキュリティ対策は求められます。持ち出し時の注意点や手順、送信時のダブルチェック等を追記するようにします。
上記文書がそろえば、事前準備は完了です。その後は、組織内で、ルール等の知識・スキルアップを図り、実践へと進めていきます。そして自己点検、内部監査を行い、マネジメントレビューで代表者へ報告します。
これが個人情報保護のPDCAの1サイクルです。これを1年に1サイクル以上回していくことが望ましいでしょう。PDCAを回し、年々個人情報の取扱いレベルをスパイラルアップさせていきます。

PDCAの図

図5:PDCAの図

まとめ

今回は個人情報(電子データ)のセキュリティ対策を実施する上での進め方を解説してきました。電子データのセキュリティ対策が確保できた際は、紙媒体の物理的安全管理対策(通則ガイドライン10-5)も同様のステップで対策を行うことが望ましいです。
余談ですが、2022年2月に改正されたISO/IEC 27002では大項目がかなり見直され、14項目から4項目(組織的管理策、人的管理策、物理的管理策、技術的管理策)に整理されました(ISMSの認証基準であるISO/IEC 27001は2022年10月に改定)。通則ガイドラインの10-3~10-6と同じ項目になっていますので、ISMSの枠組みでセキュリティ対策を進めることが可能となります。個人情報以外の情報の安全管理措置は、個人情報と同じように対策できるため、個人情報もそれ以外の情報についても同様に実施することが望ましいです。
当社ではプライバシーマーク取得支援を中心としたコンサルティングサービスを実施しています。プライバシーマーク取得に限らず個人情報の安全管理を実現するためのご支援も行いますので、当社までお気軽にお問い合わせください。


掲載日:2023年2月28日
北野 博之(きたの ひろゆき)

執筆者プロフィール

北野 博之(きたの ひろゆき)

所属:NECソリューションイノベータ株式会社 九州支社
プライバシーマーク取得支援を中心としたコンサルティングサービスを実施。
前職は日本情報処理開発協会(JIPDEC:現日本情報経済社会推進協会)にて、プライバシーマーク制度やISMS制度に関わる。これまで、業種を問わず約100社の審査を実施してきた。

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。