関連法規・その2(個人情報保護法・特定電子メール法)[情報セキュリティマネジメント講座]
今回も情報セキュリティマネジメント試験の関連法規について学習していきます。
関連法規(その2)
近年のサイバー攻撃では企業をはじめとする組織だけでなく、個人が対象となることも増えてきました。
個人情報や電子メールをはじめとしてどのような法律で守られているかも確認しましょう。
個人情報保護法
個人情報保護法では企業が個人情報を保護するための取り扱いを定めています。
個人情報は氏名や生年月日、職業やメールアドレスなど、特定の個人を識別できる情報です。
個人情報保護法では以下のように定められています。
- 適正な方法により個人情報を取得し、個人情報の利用は原則収集目的の範囲内で行う
- 個人情報の漏えいを防ぐため、情報セキュリティ対策を行う
- 開示・訂正・削除を求められた場合は原則として応じなければいけない
個人情報の利用目的
個人情報保護法の利用目的について、以下のような規定があります。
- 本人から直接個人情報を取得する場合は、利用目的を明示しなければいけない
- 個人情報を取得した場合は、利用目的を本人に通知・公表しなければいけない
個人情報の種類
個人情報の種類としては以下のように分けられます。
- 特定個人情報・・・個人番号(マイナンバー)を含む個人情報
- 要配慮個人情報・・・不当な差別や偏見が生じないように、その取扱いに特に配慮を要する個人情報
- 個人識別番号・・・特定の個人の身体の一部の特徴(例:指紋)、個人に付与される符号(例:学生番号)
なお、ここで出てきたよう配慮個人情報は不当な差別、偏見などの不利益が生じないように、その取扱いに特に配慮を要する個人情報です。
例えば病歴や犯罪歴、人種や障害などが挙げられます。
要配慮個人情報の取得や第三者への提供では原則本人の同意が必要となります。
匿名加工情報
匿名加工情報は特定の個人を識別することができないように、個人情報を加工したものです。
匿名加工情報では以下のようなルールに基づき、本人の同意なしに事業者間でデータ取引やデータ連携が行えます。
- 適切な加工・・・特定の個人を識別できる情報を削除・置換します。例えば個人名・マイナンバーなど個人情報と直結するものを削除したり置き換えます。
- 安全管理措置・・・匿名加工情報の加工方法など情報の漏えい防止対策を打ちます。
- 公表義務・・・匿名加工情報を作成したり、匿名加工情報を第三者に提供するときに公表します。
- 識別行為の禁止・・・本人を識別するために匿名加工情報を他の情報と照合することを禁止します。
個人情報保護委員会
個人情報保護委員会は、個人情報保護法に基づいて発足された国の行政機関です。
個人情報取扱事業者は、個人情報が漏えいした場合に事実関係・再発防止策を個人情報保護委員会などに報告するよう努めなければいけません。
しかし、以下の2パターンの場合は個人情報保護委員会などに報告する必要が無いとされています。
1.実質的に個人データなどが、外部に漏えいしていないと判断される場合
例としては以下のようなものが挙げられます。
- 高度な暗号化によって秘匿化されている場合
- 第三者に閲覧されないうちに全てを回収した場合
- 第三者では個人情報への復号ができない場合
2.FAX・メールの誤送信や、荷物の誤配のうち宛名・送信者名以外の個人情報が含まれていない場合
特定電子メール法
特定電子メール法では迷惑メールやスパムメールを防止する法律です。
送信者の氏名やメールアドレスの表示義務・受信者の同意がないメールの規制や架空メールアドレスによる送信の規制が定められています。
特定電子メール法においては広告・宣伝メールを送信するためにはオプトイン方式を採用する必要があります。一方でオプトアウト方式によってメール送信拒否の要求に応じる必要があります。
- オプトイン方式・・・あらかじめ受信者がメール送信に同意した場合のみ、メール送信者はメールを送信しても良いと言った方式
- オプトアウト方式・・・メールの送信者が、受信者からメール送信をしないように求める通知を受けた時にメール送信を取りやめる方式
その他の法律
情報セキュリティに関する法律は増えつつあります。関連する法律として以下の法律を押さえておきましょう。
- マイナンバー法・・・国民に固有の番号を付与し、社会保障や納税の情報を一元管理する番号制度に関する法律。
- 電子署名法・・・ディジタル署名に、自筆の署名や印鑑による捺印と同じ効力を持たせるための法律。
- プロバイダ責任制限法・・・インターネット上でプライバシーや著作権が侵害された際に、ISPに対して情報開示を請求する権利やISPが追う損害賠償責任の範囲を定めた法律。
- IT基本法・・・日本を世界最先端のIT国家にするため、国のIT戦略の基本理念を定めた法律。
- e-文書法・・・企業の書類や財務諸表を電子データで保存することを認める法律。別名電子文書法とも。
- 電子帳簿保存法・・・国税関係帳簿書類を、電子データで保存することを認める法律。
- 特定商取引に関する法律・・・特定商取引における事業者と消費者とのトラブルを防ぐための法律。クーリングオフや勧誘規制について記載されている。
関連法規(その2)・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
個人情報保護法が保護の対象としている個人情報に関する記述のうち,適切なものはどれか。(AP H.28/春)
ア 企業が管理している顧客に関する情報に限られる。
イ 個人が秘密にしているプライバシに関する情報に限られる。
ウ 生存している個人に関する情報に限られる。
エ 日本国籍を有する個人に関する情報に限られる。
問2
広告宣伝の電子メールを送信する場合,特定電子メール法に照らして適切なものはどれか。(PM H.27/秋)
ア 送信の許諾を通知する手段を電子メールに表示していれば,同意を得ていない不特定多数の人に電子メールを送信することができる。
イ 送信の同意を得ていない不特定多数の人に電子メールを送信する場合は,電子メールの表題部分に未承諾広告であることを明示する。
ウ 取引関係にあるなどの一定の場合を除き,あらかじめ送信に同意した者だけに対して送信するオプトイン方式をとる。
エ メールアドレスを自動的に生成するプログラムを利用して電子メールを送信する場合は,送信者の氏名・連絡先を電子メールに明示する。
問3
電子署名法に関する記述のうち,適切なものはどれか。(AP H.27/春)
ア 電子署名技術は共通鍵暗号技術によるものと規定されている。
イ 電子署名には,電磁的記録以外の,コンピュータ処理の対象とならないものも含まれる。
ウ 電子署名には,民事訴訟法における押印と同様の効力が認められている。
エ 電子署名の認証業務を行うことができるのは,政府が運営する認証局に限られる。
解説(クリックで展開)
関連法規(その2)・まとめ
今回も関連法規について学習しました。
情報セキュリティに関する法律は非常に多いですが、問われるポイントは限られているのでしっかりと押さえておきましょう。
次回は労働関連法規について学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
ディスカッション
コメント一覧
まだ、コメントがありません