▶ 情報セキュリティ対策と個人情報保護

 情報セキュリティ対策と個人情報保護

この二つは、似たようなことをやっている、と思われている人が多いと思います。そこで、今回はその違いについて解説したいと思います。（廣瀬隆夫）

■　情報セキュリティ対策とは
情報セキュリティ対策は、大型計算機が政府や企業の基幹業務に使われ始めた1980年代に定められた安全対策基準がルーツです。（情報処理サービス業電子計算機システム安全対策実施事業者認定制度（1981（昭和56）年通商産業省）、情報通信ネットワーク安全・信頼性基準 （1987（昭和62）年　郵政省））

当時は、インターネットがありませんでしたので機密性は重視されていなく、大型計算機が止まったり、情報が破損したりしないように安全対策を重視した基準でした。ブラウザの普及でインターネットが普及を始めた1995年に英国で情報セキュリティ基準BS7799が制定されました。これが、現在のISO 27001（JIS Q 27001）の基になります。

情報セキュリティ対策は、システムやデータの可用性、完全性、機密性を担保するために制定されたものです。

■　個人情報保護とは
一方、個人情報保護は、情報セキュリティとは違った起源を持っています。昔の日本は村社会でしたので個人の情報は筒抜けでした。1960年に、三島由紀夫が書いた政府の役人をモデルにした「宴のあと」という小説でプライバシー侵害の裁判があり、三島側が敗訴したという事件が日本のプライバシー保護の始まりだと言われています。

欧州では、マグナカルタ（1215年）から始まる人権保護の考え方が浸透しており、プライバシーについても古くから重要視されていました。

1980年にOECD個人情報保護8原則が制定され、1995年に、プライバシーを守るEU指令が発令されました。OECD8原則が個人情報保護の根幹をなすもので、ISO 15001（JIS Q 15001）として基準となりました。
①　目的明確化の原則　 Purpose Specification Principle
②　利用制限の原則　 Use Limitation Principle
③　収集制限の原則　 Collection Limitation Principle
④　データ品質の原則　 Data Quality Principle
⑤　安全保護の原則　 Security Safeguards Principle
⑥　公開の原則　 Openness Principle
⑦　個人参加の原則　 Individual Participation Principle
⑧　責任の原則　 Accountability Principle

このように、情報セキュリティ対策と個人情報保護は目的が違います。前者はシステムや情報というモノの保護が目的ですが、後者はプライバシーという人の生活を守ることが目的になっています。

個人情報は、お客様から一時的にお預かりしている情報であり、勝手に使うことができないということを考えて、より慎重に取り扱う必要があります。

◆　◆　◆

ニュースで、個人情報が盗まれたとか、漏えいしたとかを耳にしますが、 企業の機密情報が盗まれたという記事は、それほど大きく扱われません。理由は、普通の人たちの生活とはあまり関係がないからです。

情報セキュリティ対策と個人情報保護の違いを意識して対策を行っていただきたいと思います。