Menu

分かりやすいセキュリティ用語集

みなさま、こんにちは。私は有限会社マイカのライター「秋葉けんた」と申します。いつもはサーバーやストレージ、ネットワーク、クラウド、セキュリティなどに関する記事を中心に執筆しています。近年、弊社でも取引先から、個人情報保護や情報セキュリティの対策をしっかりと実施しているかどうかを確認されることが多くなっています。そこで、2014年にオプティマ・ソリューションズさんの協力を得て、社内体制を整備や、個人情報保護に対する第三者認証の取得などを進めています。

そういった活動に取り組む中で、私は「とにかくセキュリティ用語の読み解きが困難だ」ということを感じました。個人情報保護や情報セキュリティに関する用語の中には、法律用語のように難解なものが多く存在しています。一見しただけでは、いったい何を言っているのか分かりにくいこれらの用語を読み解くことで、理解も深まり、社内体制構築のハードルがグッと下がります。私自身も、まだまだ勉強している最中ですが、これまでのライターの経験を活かしつつ、同じ悩みを持つ方々にも共有できる情報があるのではないかと思い、「分かりやすいセキュリティ用語集」を作成したいと考えました。

このセキュリティ用語集が、少しでも皆様の取り組みの一助になればと思います。第一回目は「個人情報」の定義からです。

【個人情報】の定義とは何ですか?

「個人情報」という言葉の意味は、

「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)」(JIS Q 15001より)

と定義されています。つまり、「個人に関する情報」は全て「個人情報」と見なされる、というわけです。
しかし、この定義だけでは具体的にどの情報が「個人情報」にあたるのかは不明確です。そこで、「個人に関する情報」の範囲が具体的にどこまでなのか「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経産省ガイドライン)で調べてみたところ、「氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない」となっていた。つまり「防犯カメラに記録された映像」や「メールアドレス」などはもちろん、「官報」「電話帳」「職員録」などに掲載されている公開情報であっても、個人情報に入るのです。

「他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む」という部分については、たとえば電話番号や企業名、肩書のように、それだけでは個人を特定できない情報であっても、組み合わせによっては個人情報になる可能性があるということです。(例えば、田中太郎商店のように個人名が含まれる企業名や、A社・社長などの肩書など)

つまり、想像以上に「個人情報」に該当する情報は多いということになります。そして多くの事業者は、これらの個人情報を適切に保護することが求められているのです。事業者が「個人情報」を取り扱う際には、あらかじめその利用目的を明示する必要がある。利用目的を明示せずに個人情報を使用したり、その利用目的を超えて使用したりすることは許されないのです。

■個人情報として認識されない情報の例
・企業の財務情報などの団体情報
・数字や記号などからなるメールアドレス*
・電話番号/Fax番号*
・統計情報
*ただし、他の情報と照合し個人を識別できる場合には個人情報となる

昨年、教育産業の最大手が保有する個人情報が漏えいし、名簿業者を通じて販売された事件がありました。この事件では、漏えいさせてしまった企業だけでなく、違法性を認識せずに名簿業者から個人情報を購入し、利用した企業も批判されたことが記憶に新しい。この場合、業者から個人情報を購入した企業には一見問題がないようにも見えますが、その入手方法の確認を怠ったという点が批判の対象となっているようです。

この事件からも分かるように、個人情報は取り扱い方を一つ間違えるだけで、企業の信頼を失墜させ、大きな損害を与えることがあります。たとえ表向きには合法とされている個人情報であっても、実際に取り扱う際には細心の注意を払い、どういった経緯で販売されたのか、出どころはどこなのか、といったことを必要に応じてチェックしていく必要があるということです。

 

著:秋葉けんた(有限会社マイカ
監修:中康二(オプティマ・ソリューションズ株式会社)