今回は、あきばれネットのメルマガ読者の方からのお便りをご紹介します。 ◆読者さんからのお便り
SOさん、お便りありがとうございます。 「ホームページのセキュリティー」といった場合、いくつかの側面がありますが、お便りの内容からすると、「個人情報漏洩」についてご心配されているようですので、今回は「個人情報の保護」についてお話ししましょう。 ◆個人情報保護に対する考え方 4月に個人情報保護法が施行されて以来、「セキュリティ対策業者」からの売り込みを頻繁に受けている方も多いのではないでしょうか? 「プライバシーマークを取得しませんか?」「御社のホームページにSSLをいれませんか?」 といった具合に電話がかかってきて、「よくわからないけど何となく怖いから導入しようかどうか迷っている」という方が少なくありません。 もちろん、サーバーやホームページの機能としてのセキュリティ強化も大切ではありますが、それより先に最初に考える必要があるのは、御社が扱う個人情報に関しての「現状の洗い出し」と「方針の決定」および「対策」の整理です。 つまり御社が、 ・現在、どのような形で個人情報のやりとりを行っているか ・現在、どのような形で個人情報の管理を行っているか を洗い出した上で ・どのような方針で、どのような対策を取っていくか を整理する作業が必要なのです。 ◆「個人情報」って何? そう考えたとき、「個人情報、個人情報と言っているけど、個人情報ってどこからどこまでを指すの?」と思われる方も多いと思います。 といった具合に電話がかかってきて、「よくわからないけど何となく怖いから導入しようかどうか迷っている」という方が少なくありません。個人情報保護法が定める「個人情報」とは、 ・生存する個人に関する情報であって、
従って、 ・「故人」の情報 ・個人を識別できない情報 は個人情報にはあたりません。 例えば、ホームページからお問い合わせフォームを経由して送られてくる情報は「個人情報」にあたりますし、名刺の交換によって得た氏名・住所や電話番号も「個人情報」です。 「ホームページだけが入り口ではない」という認識も大事なポイントです。 まずは、御社の「個人情報の入り口」を整理してみましょう。 ◆個人情報取り扱い事業者とは? さらに、入ってきた個人情報を「どこにどのようにしまっているか」も合わせて整理しておきましょう。 また、御社が持っている個人情報の「件数」も確認してみてください。 個人情報保護法が定める「個人情報取り扱い事業者」は、概略を言うと ・過去6ヶ月以内に ・5,001件以上の個人情報を ・簡単に検索できるようにコンピュータ上にデータベース化し ・この個人情報をビジネスに利用している組織 となります。 上記の定義にあてはまる場合には「法人」でも「個人事業者」でも対象となります。 御社は「個人情報取り扱い事業者」の対象となっていますか? もちろん「個人情報取り扱い事業者」ではないから個人情報を保護しなくていい、というわけではありませんが、御社の方針を決める際の、ひとつの判断材料になるのではないでしょうか。 ◆個人情報保護は難しい さて、御社の個人情報管理にまつわる現状を整理した後、その現状に即した対策をそれぞれ検討していく必要があります。 ただし、それぞれの現状に応じてどんなことをやればいいか、を検討するのは非常に難しいところです。 (特にホームページやメールアドレスにからむところは「通信関連の知識」が必要になるため、非常にわかりにくいのです。) ですから、個人情報保護法に関しては、書籍や関連ホームページで情報を収集し、経営者さんご自身がまず、よく勉強されることが肝心です。 私のおすすめの書籍を一冊ご紹介しておきましょう。
このように、まずは御社として、個人情報漏洩を防ぐためにどういったことをする必要があるかを整理してみてください。 その際に、業者さんが提案してきているようなサーバーやホームページのセキュリティ機能が必要と判断されれば、導入を検討されるとよいでしょう。 ただしその際も、その機能がどういった働きをするのか、何のために必要なのか、本当に必要なのか、という点を、業者さんからじっくり話を聞いた上で判断してくださいね。 |