情報BOX 【 知って得するサイバーセキュリティ講座 】
第24回顧客の情報を預かる責任
2013年10月23日
個人情報は、大きく2つに分けることができます。一つは、「特定の個人を識別できる」情報で、氏名・生年月日・性別・住所の4つを特に「個人基本4情報」と呼びます。この個人基本4情報が漏洩するだけで、1万円程度の損害賠償が認定される判決が出ています。
もう一つが、「他人や社会に知られたくない」、「知られることで精神的、経済的、社会的な不利益・差別を受ける」というプライバシーに関わる情報で、機微情報(センシティブ情報)といいます。この機微情報は、その機微の度合いが高いほど、漏洩が起きた場合の責任が重く、それに伴い損害賠償額が上がります。
このように、機微情報を取った瞬間に漏洩するリスクが発生し、きわめて高い責任が発生することを自覚しておかなければなりません。それ以前に、個人情報、特に機微情報を取得する場合には、本当にその必要があるのかということを吟味しなければなりません。
また、技術的な対策を講じることで、情報がそもそも漏れにくい状況をつくっておく必要もあります。前回お話ししたエステティックサロンの例では、極めて初歩的なミスにより、情報漏洩が発生しています。適切なアクセス権限を設定しなければならないことは当然として、そもそもウェブサーバに情報をそのまま保管する必要があるのかという疑問が残ります。入力されたデータを即座に転送し、社内でデータを保管するなどの工夫を行うことで、相当に情報漏洩の危険性を抑えることが可能だからです。
企業が利用者からデータを取得する場合には、情報を取得せずに済ませる方法はないか、取得する情報は、万が一漏れた場合、その被害が最低限に抑えられる内容にできないか、取得したデータを保管する必要があるのかなどの検討を行い、必要な場合は十分な情報漏えい対策を講じる責任があるのです。
◆ 次回は「個人情報取得のポリシー」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)