企業が持つ個人情報は基本的に持ち出してはいけませんが、業務上どうしても持ち出さないといけない場合もあります。
ただその際は、持ち出された個人情報が不正に利用されることを想定しておかなくてはいけません。
個人情報の持ち出しに関して、企業はどのような対策を講じておくべきなのでしょうか?
個人情報の持ち出しへの対策は「経路・媒体の確認」から始まる
企業はまず、個人情報の持ち出しに該当する経路・媒体を把握しておく必要があります。
つまり個人情報はどういった経路で持ち出されることがあるのか、またどんな媒体に個人情報が記載されているのかを知っておくということです。
個人情報が持ち出される経路には、「ネットワーク」と「物理的な持ち出し」の2種類が挙げられます。
それぞれに該当するものをもっと細分化してみましょう。
ネットワーク
ウェブ、メール、通信用ソフトウェア、外部ストレージなど
物理的な持ち出し
リムーバブルディスク、ノートパソコン、スマートフォン、プリンター出力による個人情報の印刷物、写真など
個人情報の持ち出しに関して企業に求められるのは、上記のような経路・媒体を把握して、どんな原因で個人情報が不正利用されても対策が打てる状況を作ることです。
ウェブ、メールによる個人情報の持ち出しへの対策
ウェブ
業務に関係ないウェブサイト、危険性の高いファイル共有サイトへのアクセス制限、アップロード制限
メール
送信を許可していない社外のアドレスへの送信制限、ヘッダやメールの内容、サイズなどから送信の可否を上長によって判断する
ウェブ、メール共通の対策としては、「ログの取得」が挙げられます。
ウェブのアクセスログとメールの送信ログを取得することで、個人情報を不正利用させないための抑止力として使用出来ます。
電子機器による個人情報の持ち出しへの対策
リムーバブルディスク等の外部接続機器
従業員個人が所有している外部接続機器と混在しないよう、社内で許可された媒体にのみデータの書き出しを許可する
ノートパソコン、スマートフォン
書き出し制限の可否、デバイスの種別をそれぞれ確認し、それぞれの機種や型番に対応した対策を決定する
その他の媒体による個人情報の持ち出しへの対策
プリンター出力による個人情報の印刷物
特定のコンピュータ以外のプリンター出力制限、プリンターを操作する際の認証導入、重要なデータの印刷制限
写真
個人情報へのアクセス可能エリアを制限し、撮影機能を持ったデバイス全ての持ち込みを禁止する(スマートフォンでの撮影も制限可能)
まとめ
個人情報はいつ、どこで不正利用されるか分かりません。
個人情報が持ち出される経路・媒体を改めて整理すると、それを良く理解して頂けると思います。
企業は把握出来るケースを全て想定し、「想定外の不正利用」を防止出来るように努めなくてはいけません。
従業員への指導ももちろん大事ですが、悪意のない個人情報の流出にも対応出来るように2の矢、3の矢を容易しておく必要があるのです。
細かく企業のルールを定めることで、個人情報の管理体制が優れている企業として認められるJAPHIC(ジャフィック)マークなどの“第三者認証マーク”の取得にも一歩近づきます。