おっと
あれこれとやらなきゃいけないことはあるんだけどねーw
個人情報漏洩に際して発生するリスクとその対処?
誰が、とか何が、とかいう気はないけど…
個人情報の漏洩が発生した場合に、外野なのか当事者なのかは(見る限りは)わからんけど、ちとアタマに血がのぼりすぎでないかい?という感じの人がよく発生するよなぁ…という気がしてる。
穿った見方をしてしまうと、「自分自身に何か事件が降りかかってくる」ことを期待してたり、実際そうなったら「それをネタにして何かイチャモンつけてやろう」というようにも見えてしまう。
ただ、漏洩させた当事者ができることは、当事者の認識とお財布事情などに大きく左右される。お財布が十分潤っていて、対策費用やなにかを捻出する力があっても、当事者の認識が十分でないと、結局何もおきない。
逆に「当事者として何かできること」と考えても、「お財布が寒い」という話になると、「やりたくてもできない」ということになる。
これは別に、漏洩させた当事者をかばうわけでもなんでもない、厳然たる事実である。
だからこそ、「漏洩させた当事者」に対して「コトの重大さ」を認識させることには意味があるわけだが、その後も執拗に言い続けるのは、逆効果にしかならんのではないか?とか思うわけだ。
漏洩させられちゃった人(被害者)は何をする?〜自己防衛のススメ
漏洩させられてしまった被害者側は、一方的にやられるだけなのか?という話になるわけだが、そういうことを言うわけでもない。
具体的に想定される迷惑行為/犯罪行為に対しては、罰則が適用されることもある。ただ、これは「漏洩被害者」が迷惑行為/犯罪行為を認識した時点で「届出」ということをしないとならないわけだ。
…要は「自衛してくだせえ」ということになる。
ただ、単に「自衛」といっても、方法がわからないなどの人も相応数いらっしゃることと思う。正直そんなときのために(って限定するわけでもないけど)誰か相談できる人を見つけておいてほしいとか思ったりする。そして、そのための相談窓口なりを(漏洩元にも)設置するのが筋だわな(というか、各種ガイドラインにもそこには触れている)。
思うことは山ほどあるけど、「漏洩させた当事者」にすべてを被せても、漏洩させた情報が完璧に回収できるわけでもなく、むしろ「被せられた当事者」が潰れる可能性もある。ぶっちゃけ解決はしない。
もし申し入れをするという話があるのであれば、漏洩した当事者に対して「最終的に望むこと」が何なのか?という話を考えて臨まないと、最終的に「誰も望まない結果」になる危険性が十分ありうるのがこの種の事故の怖さである。注意されたし。
漏洩させられちゃった被害者の方々が「何を望むのか」というのが、漏洩させた当事者(当時社でも団体でもいいけど)の消滅とか解散という話であり、それが総意という話であれば、それもしょうがないだろう。ただ、そうでない場合であっても、漏洩させた当事者が「あまりに現実的でない話」を突きつけられて、「じゃ解散」となった場合には目も当てられない。
まとめると
- 被害者は自己防衛を
- 当事社(者)は「実効的に機能する」相談窓口を
というところか。
漏洩させた側がその後やるべきことは?〜おおざっぱにはこんな感じ?
もっとも、漏洩させた側が「開き直って何もしない」というのは、また別の意味で最悪である。瑕疵は瑕疵として認め、それを(自分らの努力で解決できるものならば)解決するなり、それが難しい場合には、有事に備えるなり、瑕疵が発生した原因をつきつめて、再発しないように対処する、というのはあたりまえの流れである。まだ起こってないという場合でも、「自分ところは大丈夫か?」と見直すのも必要だし、日常的に「業務なりに疑いの目」を向けてみて、疑問に思ったらなんとかしてみる、という話も(あたりまえに)必要である。
個人情報を漏洩させて騒ぎになるのは、「信じて情報預けてたのに…」という、信頼感の裏返しであるところが多い。
であれば、その期待を(漏洩という事故の発生で)裏切ってしまった企業なりは、その信頼を(現実的に可能な形で)回復する、ということでしか購えない。
しかし考えてみると、(漏洩させて大騒ぎになるほどの)個人情報を収集できるだけの組織なり取組が、そんなに「あっさり」なくなっていいはずがない。
なので、「やめる」とか「解散する」というのが(本来)最良の解決でないことは、誰の目にも明らかだろう。
となると、そういう信頼をいただいていたと認識している当事者は、「続ける」ことを模索(して、改善していくことを)するのが最良の(というよりは、(それを許される状況であるならば)ほとんどそこしか解決法がないんじゃないか、と思ったりする。
続けるにあたっての懸念を排除し、信頼回復をはかる、というのがベストということやね。
PマークとかISMSについての個人的見解w
PマークやISMSを誤解してる人が(相当数)いるようにも見えるが、あれは「これがあるから絶対大丈夫」なんではなく「見た時点・見た限りにおいては」きちんと管理されていた&それを維持するためのプロセスがきちんとしていたというくらいに思っておいたほうが良い。
もちろん、認証取得のためには大変な苦労があるわけで、そこはオレも理解してる。けど、必要以上にそれらのマークや認証が「錦の御旗」であるとも思ってほしくない。
それらの認証を取得している企業の情報も、きっちり漏洩している事例があることを考えると、「あるから大丈夫」ではなく「あるから『何かあっても』対応はきちんとするだろう」くらいのレベルで考えたほうがよい。
PマークとISMSの話が出てきたので、少しマネジメントシステムの話に踏み込むけど、PマークはJIS Q 15001:2006にて規定された個人情報保護マネジメントシステムの構築と維持運用に関する話を、ISMSはISO27001:2006にて規定された情報セキュリティマネジメントシステムの構築と維持運用に関する話をそれぞれ扱っている。
マネジメントシステムは、管理を行うにあたっての規程類を整備し、証跡を残せるようにし、PDCAサイクルをきちんとまわして「不備があった」場合にはその不備を改修できるようにする体制全体を表現する概念である。
なので、「作るからには最初から完璧にしなくてはならない」ということもなく、かといって「完璧なものを作ったからもうそれを単に動かすだけでよい」ということにもならない。実施が行われているかどうかのチェックと、指摘に応じたアクションを取る、ということもきちんと織り込まないといけない。
Pマークの設立経緯とISMSとの(大きな)差異
某所wで議論してて、「これは」と思ったところがあったので、メモ。
以下のようなコメントをいただいた。
- P マークはいわゆる『EU指令』に対応して整備された制度
- EU側からは「コンプライアンス面の不備」から「だめだろ」と一蹴された
- 「個人情報の保護に関する法律」の制定・施行にともない、中途半端に
最後の「中途半端」ってのは、マークそのものに法的強制力がないとかそういうあたりの話ではないかと推測。でも、前述のとおり、一目置かれてしかるべき認証であることは間違いない(カネかかるけど)。
上記メモに対するオレの考え
JIS Q 15001:2006の「3.3.7 緊急事態への準備」で言ってることは、受容ではなくて低減の話なので、確かに受容できない(「そういう事態がありうることを認識し、準備せよ」なので)。
ただ、実際にはISMSでも、組織の能力/責任を問われるようなリスク受容については、認めていない(ISO 27001:2006中 「1.2 適用」に、そこにかかわる記述があります)。もっとも、これは受容しちゃいかんだろwという感じではあるのだけど。
当事者に対する受容は、「ウチはここまでやります」という責任範囲の提示に替えられてる感があるけど、これをもう少し「ウチはここまでやるから、それ以外の部分はよろしく。具体的にあなたは何やってね」というところまで言われていれば、まだ違うのかもしれない。
で、そういうあたりでリスク対応のためのコスト分担って話が出てくるわけで、「コストは低くするかわりにこういうリスクおよび、発生時にはこういう対処が必要、という運びになる。
わかりやすく言うと
- 何かあったらなんでもします。でも、あなたには(その準備のために)これくらいの対価を支払っていただきます
- できない範囲も多いけど、「それでよければ」このくらいでいかがでしょうか?
というような提案/駆け引きが必要になる。
もちろん、情報主体(要はその個人情報の主)が拒否することも可能なわけで、ここでそれを受け入れた場合には、実は情報主体にも一定の範囲で責任(自分で対処)という話になる、というところか。
漏洩/毀損への対策などは当然必要としても、そのようになった場合の対応をどうする(どうしてもらう必要がある)ということを、きちんと整理することが、相互の信頼につながるのではないか、と思う次第。万全/完璧はないので。
何もおきなきゃどうするのよ?というのはあるけど、それは保険といっしょ。
でもあくまで「相互の合意の上」で行われなきゃいけないのはあたりまえ。
どっかのISPが勝手に会員から10000円徴収したなんてのは、論外の極み。
ある意味当然の話〜情報流出とコンプライアンスとガバナンスの関係?
ちなみに情報流出の話が出てきて、会社なり当事者の体制の話が出てくると、必ず「コンプラ」とか「ガバナンス」ということを言って憤慨しつつ悦に入る人が出てくるけど、正直そんな話は(当事者は)痛いほどよくわかっている(わからせられる)話。
でも、当事者に対して憤慨しようと怒ろうと恫喝しようと、事実は変えられまない。
であれば、波風立てない(温和な)物言いをしつつ、当事者が問題なり事態の収拾にパワーを振り向けてもらえるように仕向けるなり、自分らの行動を振り返りつつ「自分らどうすりゃええねん」とかいう話をしたほうが、よっぽど建設的。
「オイコラ」では、人は気持ちよく動けない(状況が状況だと、気持ちよくもないのだけど、ぎすぎすしてくると「必要以上に」やりとりがささくれ立つ)。お互いに何をやるのかを模索しつつ、事態や課題や問題を収集して、「さて終わったけどこれからどうするべ」という話をするようにしていければ、もう少し(ネガティブな事態であっても)ポジティブに対応できるのではないか?とか思ったり。
