Smily Blog

「すまいりマンスリー」から引っ越しました。

Smily Books Blog 2017年8月更新中

ひとごとではないデータベース情報の漏洩防止 北野晴人(技術評論社)

1.個人情報保護法
(1)自己情報コントロール権
個人情報は個人情報取扱事業者(保管している企業・組織)のものではなく、その本人のものである。
よって、個人情報(自己情報)は本人がコントロールできる権利が保証される。

(2)個人情報
①(それだけで)特定の個人を識別できる情報
②他の情報と容易に照合して個人の識別ができるようになる情報(断片的な情報でもいくつかの情報を繋ぎ合わせることで個人が特定できるようになる情報のこと)

(3)情報とデータの区別
①個人情報
個人情報データベースなどに保管されている個人情報そのもの
②個人データ
個人情報データベースなどに保管されている電子的なデータ

(4)対象者(個人情報取扱事業者)
以下のいずれか
・個人情報データベース事業者
・5,000件以上の個人情報取り扱い
・6ヶ月以上継続的に個人情報を取り扱っている

(5)遵守事項
①本人に対し、利用目的の明示・通知
②本人に対し、求めに応じ開示、訂正
③第三者への漏洩、提供

(6)罰則
6ヶ月以下の懲役もしくは30万円以下の罰金

2.情報漏洩防止のための検討事項
(1)リスク分析の必要性
具体的な数値による費用対効果を示すことにより、
経営者の理解が深まり、予算の決定がしやすくなる。

(2)システムごとのリスク分析の効果
①同じアプローチで各システム単位でリスク分析し、
 相対的比較により、優先順位を明確に出来る。
②リスクと優先順位から、許容リスク(残余リスク)をどうするか決定できる。

3.データベース・セキュリティのメリット
(1)データベースにあるセキュリティ機能の活用
(2)一元的なデータ管理による同じレベルのセキュリティ確保
(3)一元的なデータ実装による修正・変更コストの低減

Remove all ads