TFKトピックス1月号です!
今月は【個人情報の特定】について解説します。
年明けから毎日寒い日が続いております。また雪の多い地域の方々にとって今年は例年以上にご苦労が多いことかと存じます。
皆さんお元気でお過ごしでしょうか。TFKの中村です。
大変遅くなりましたが、新年あけましておめでとうございます。本年も引き続きよろしくお願いいたします。
さて、真冬のこの時期はどうしても外に出歩くことが億劫になりがちですが、家々の庭の軒先を見てみると、椿の花がちょうど見ごろです。
椿の花が咲く季節は品種によって違い、9月~11月に咲く早咲き、12月~2月に咲く冬咲き、3月~5月に咲く春咲きの3つに分けられます。原種であり見かけることも多いヤブツバキは12月~4月頃に花開きます。
また、俳句や連歌では、椿は三春を表す春の季語とされています。
三春(さんしゅん)とは初春(旧暦1月)・仲春(旧暦2月)・晩春(旧暦3月)の総称で、現在の暦では2月~4月にあたります。
冬から春へ移り変わる時期ということもあり、人によって椿が冬の花だったり春の花だったりするというイメージにも納得できます。
SPECIAL TOPIC 【個人情報の特定】について
個人情報とは、個人情報保護法上の定義では、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって、特定の個人を識別できるもののことをいいます。
こうした個人情報とは会社のどの情報をいうのか、どこにあるのか、どんな管理をしているか、棚卸をして整理する一連の業務を「個人情報の特定」といいます。
☞目的は?
個人情報保護リスクを認識する作業の前提として、事業者が取り扱う個人情報のすべてを明らかにすることで、個人情報保護リスクの見落としを回避することが出来ます。
☞求められていること
【プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針】に、以下の記載があります。
①自らの事業の用に供している全ての個人情報を特定するための手順を内部規程として文書化すること。
②個人情報を管理するための台帳を整備すること。
③台帳には、少なくとも次の項目を含むこと。
【個人情報の項目】 【利用目的】【保管場所】【保管方法】【アクセス権を有する者】【利用期限】【保管期限】【管理する個人情報の件数(概数でも可)】
④台帳の内容は少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態で維持すること。
(出展:プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針)
📍POINT
上記要求事項の目的は、事業で取り扱う全ての個人情報を特定し、その取扱い状況を把握すること。 台帳の整備はそのための手段であって、目的ではないので注意!
また、仮名加工情報、匿名加工情報、及び個人関連情報(当該個人関連情報が提供先の第三者において個人情報になることが想定される場合)においてもPMS<個人情報保護マネジメントシステム>の適用範囲であることから、個人情報として特定する必要があります。
☞個人情報を特定するには?
個人情報を取り扱う業務を特定する必要があります。例えば、事業者が実施しているすべての業務を棚卸し(もれなく抽出)した上で、業務フロー図などを作成しながら特定します。
☞個人情報に該当するか否かの判断は?
個人情報に該当するか否か、の判断は、【J.1.3 法令、国が定める指針その他の規範】に基づいて行ってください。
☞特定した個人情報を台帳で整備するにあたって…
個人情報の項目(例:氏名、住所、電話番号等)だけでなく、少なくとも下記の項目を記載する必要があります。
・利用目的…取得した個人情報は何のために利用するのか
・保管場所…個人情報をどこに保管するのか
・保管方法…どのように保管するのか
・アクセス権を有する者…取得した個人情報を閲覧することができる人物
・利用期限…いつまで利用するのか
・保管期限…いつまで保管するのか
等を記載します。また、事業者がどれだけの個人情報を保有しているか、件数を(概算でも構わないので)把握し、記載しておくことも求められています。
📍POINT
・個人情報を管理する媒体は、紙媒体である必要はなし!電子ファイルなどでもよく、事業者が管理しやすい方法だったらOKです。
・個人情報を特定することと、台帳管理することは別物です。特定した個人情報のすべてを管理する必要はありません(何を管理するか、の把握もリスク対策のひとつ!)。
いかがでしたか?上記について、ご不明点などあればいつでもお問い合わせください。
セキュリティインシデントNEWS ~個人情報保護に関するニュース~
皆さん、Instagramは使われていますか?
企業が公式としてアカウントを作成し、情報発信するのも当たり前になってきました。世の中にはいろんな企業アカウントがありますよね。
そんな中、レシピサイトのクックパッドが以下のような発表を行いました。
(以下、クックパッド公式サイトより)
この度、インスタグラム公式アカウント「cookpad_jp」(以下「対象アカウント」といいます。)が第三者(以下、乗っ取った第三者を「第三者」といいます。)に乗っ取られたことにより、対象アカウントのダイレクトメッセージ機能内に記載されていた個人情報が、第三者に閲覧された可能性がある事象が発生いたしました。
対象アカウントの乗っ取りは、2024年12月17日に発生し、同月22日に解消しておりますが、乗っ取られていた期間内において、第三者がログインできる状態であったため、個人情報が第三者に閲覧される状態となっておりました。
所謂、乗っ取り被害というものです。
乗っ取りは、企業の情報が盗まれるだけでなく、関わった人たちの安全も脅かすものです。
被害を防ぐには、以下のことに注意してください。
・強力なパスワードの使用と徹底管理
・二段階認証を有効化すること
・疑わしいリンクをクリックしないこと
・定期的なパスワード変更を実施
特に、公式アカウントを運用している会社さんは要注意です!
明日は我が身。改めて見直してみてください!
今月はここまで。次月もぜひお楽しみにお待ちください!
