情報セキュリティ対策と個人情報保護 この二つは、似たようなことをやっている、と思われている人が多いと思います。そこで、今回はその違いについて解説したいと思います。(廣瀬隆夫) ■ 情報セキュリティ対策とは 情報セキュリティ対策は、大型計算機が政府や企業の基幹業務に使われ始めた1980年代に定められた安全対策基準がルーツです。(情報処理サービス業電子計算機システム安全対策実施事業者認定制度(1981(昭和56)年通商産業省)、情報通信ネットワーク安全・信頼性基準 (1987(昭和62)年 郵政省)) 当時は、インターネットがありませんでしたので機密性は重視されていなく、大型計算機が止まったり、情報が破損したりしないように安全対策を重視した基準でした。ブラウザの普及でインターネットが普及を始めた1995年に英国で情報セキュリティ基準BS7799が制定されました。これが、現在のISO 27001(JIS Q 27001)の基になります。 情報セキュリティ対策は、システムやデータの可用性、完全性、機密性を担保するために制定されたものです。 ■ 個人情報保護とは 一方、個人情報保護は、情報セキュリティとは違った起源を持っています。昔の日本は村社会でしたので個人の情報は筒抜けでした。1960年に、三島由紀夫が書いた政府の役人をモデルにした「宴のあと」という小説でプライバシー侵害の裁判があり、三島側が敗訴したという事件が日本のプライバシー保護の始まりだと言われています。 欧州では、マグナカルタ(1215年)から始まる人権保護の考え方が浸透しており、プライバシーについても古くから重要視されていました。 1980年にOECD個人情報保護8原則が制定され、1995年に、プライバシーを守るEU指令が発令されました。OECD8原則が個人情報保護の根幹をなすもので、ISO 15001(JIS Q 15001)として基準となりました。 ① 目的明確化の原則 Purpose Specification Principle ② 利用制限の原則 Use Limitation Principle ③ 収集制限の原則 Collection Limitation Principle ④ データ品質の原則 Data Quality Principle ⑤ 安全保護の原則 Security Saf