事業拡大のためのセキュリティ投資［第3回/全4回］

　第3回では、個人情報保護として、入手、保管、利用および破棄時の注意点を見ていこう。

（1）個人情報の入手 　個人情報の入手は、個人情報活用の入口部分であり、この部分で情報提供者との信頼関係が崩れてしまうと、情報の提供が受けられなくなり、企業活動に対して大きな打撃を与えることとなるので、一番気をつけなければならない。また、企業内の各部署により収集目的や収集情報が異なるので、すべての入手機会と入手方法について、想定されるリスクを分析し、しっかりした対策を講じなければならない。

（2）個人情報の保管 　個人情報の保管に当たっては、情報セキュリティの機密性、完全性、可用性の観点でセキュリティを高めたシステムで保管する必要がある。情報セキュリティ管理の枠組みであるISMS（Information Security Management System）を取得することも有効性が高くなる。

（3）個人情報の利用 　個人情報の利用では、安全に保管してある情報を取り出すことにより、再度危険な状態に取り出すことになるため、慎重に取り扱う必要がある。ただし、本来個人情報を持っているのは、この利用のためであるので、業務の効率も充分に考慮しなければならない。

（4）個人情報の廃棄 　個人情報の廃棄は非常に重要である。実際の現場では、入手や保管の際との時間の経過から、その情報の担当者の交替や、保管期限の不明確等により、廃棄の判断ができなくなっている場合がある。廃棄を行わないと、不要な個人情報が蓄積され、リスクとコストが増大することになる。そこで、入手時に、個人情報の廃棄のタイミングを明確にして、無駄なリスクとコストを増やさないようにしなければならない。また、6ヶ月間の保管期間により「保有個人データ」か否かが決まるので、この6ヶ月を1つの大きな目安として保管期間を決定し、「保有個人データ」としない場合は、確実に安全に廃棄を行う必要がある。