個人情報保護の難題を乗り切るために：3つの問題とその対策

ITとインターネットによって簡単に収集できるようになった、個人を特定できる情報を保護する上で弱点となる3つの問題と、それを乗り切るための対策を紹介する。

[Rick Lawhorn，TechTarget]

　個人を特定可能な情報（Personally Identifying Information：PII）と個人を特定可能な資産情報（Personally Identifiable Financial Information：PIFI）の保護は、セキュリティ専門家にとって頭の痛い仕事だ。目的は比較的はっきりしているが、業界が適応力を身に付ける中、その目的を達成する手段は常に変わり続けている。

　PIIとは、個人の身元や所在を突き止めるのに使われる可能性がある情報のことだ。ITとインターネットによって簡単に収集できるようになったため、この情報の重要性が高まった。特にPIFIは、犯罪者が私腹を肥やすために収集し、売りさばく標的になっている。加えてアウトソーシング事業とナレッジプロセスの拡大で情報が共有され、PIIとPIFIは一層露出が進んでいる。これに応えて、多くのWebサイトはプライバシーポリシーでPIIの収集に対応し、PIIの配布と利用を規制する法律もできた。

　こうした情報の保護において弱点となる3つの問題と、情報流出の防止あるいはリスク低減のために情報セキュリティが果たし得る役割について見ていこう。

問題1：業務とナレッジプロセスのアウトソーシング

　業務プロセス、そして最近ではナレッジプロセスのアウトソーシングは、情報セキュリティの観点から見ると大きな不安の種だ。ビジネス機能がいったんグローバル化のプロセスに参入すると、そのプロセスにおいて企業が資産情報や個人特定可能な情報の管理過程を直接コントロールすることはできなくなる。唯一利用できるセキュリティコントロールは契約やサービス条件だが、いったん確立されてしまうと変更は難しい。

対策

　情報セキュリティ部門は契約が初期の検討段階にあるうちにアウトソーシング先や法務部門と密接に連携し、セキュリティコントロールについての規定があるか、監査とアクセスコントロールは実施できるかをチェックする必要がある。契約先と既に取引がある場合、現在の契約を見直し、もし必要であればサービス契約本体の改訂を要求する。企業がパートナーのリスクプロファイル評価・監視を支援する動機付けを行うことは、顧客情報を健全な状態に保つ上で役に立つ。

関連ホワイトペーパー

アウトソーシング | コンプライアンス | 情報漏洩 | 個人情報保護