個人情報保護と情報管理 2023/06/26 松田 康宏 スライド内に含まれるQRコードをクリックいただくとQRコード内に含まれるURLにアクセスできます 「QRコード」は株式会社デンソーウェーブの登録商標です

自己紹介 松田 康宏（まつだやすひろ） （所属） イースト株式会社 （仕事） AWSを活用したインフラエンジニア （士業資格） ・情報処理安全確保支援士 ・ファイナンシャル・プランニング技能士 ２級（AFP） ・中小企業診断士 ※いずれも業務独占資格ではなく名称独占資格 （主な活動） ・JAWS-UG 金沢支部コアメンバー ・中学校のPTA会長 （座右の銘） 一塁ベースを持って二塁に盗塁する

情報処理安全確保支援士（登録セキスペ）とは？ 情報処理安全確保支援士は、情報処理安 全確保支援士の名称を用いて、サイバーセ キュリティに関する相談に応じ、必要な情報 の提供及び助言を行うとともに、必要に応じ その取組の実施の状況についての調査、分 析及び評価を行い、その結果に基づき指導 及び助言を行うこと、その他事業者その他の 電子計算機を利用する者のサイバーセキュリ ティの確保を支援することを業とする 「情報処理の促進に関する法律」の第六条に定める「情 報処理安全確保支援士の業務」（一部抜粋）

CSIRTとは Computer Security Incident Response Team セキュリティインシデントが発生した場合に、適切な対応を実施する組織のこと 出所▶

本日持ち帰っていただきたいこと ・個人情報保護法について大まかに理解ができるようになる ・どのような方法で情報漏えいが発生してしまうかについて理解できるようになる

アジェンダ 1-(1) 法令の概要と事業者の義務 1-(2) 個人情報漏えいの経路と構造 1-(3) 個人情報流出事例から学ぶ保護対策について

1-(1) 法令の概要と事業者の義務

個人情報とは 個人に関する情報で、特定の個人を識別できるもの （個人情報保護法）

どのようなものが該当するか？ 単独、または複数の組み合わせで 個人が特定できるものが個人情報 たとえば・・・ 氏名＋住所 写真＋ID

個人情報保護法が対象としているもの 出所▼

個人情報保護法の目的 × 個人情報の保護 ○ 個人の権利利益の保護

2022年施行の改正内容 出所▼

個人情報の保護に関する法律についてのガイドライン （仮名加工情報・匿名加工情報編） 個人識別符号 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号 生体情報（DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋）をデジタ ルデータに変換したもののうち、特定の個人を識別するに足りるものとして規則で定める基 準に適合するもの（政令第1条第1号及び規則第2条） 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号 旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の 番号等の公的機関が割り振る番号（政令第1条第2号から第8号まで、規則第3条及 び第4条） 出所▶

漏えい等報告について 出所▶

要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要 であり、法第27条第2項の規定による第三者提供（オプトアウトによる第三 者提供）は認められていないので、注意が必要である（3-3-2（要配慮個 人情報の取得）、3-6-1（第三者提供の制限の原則）、3-6-2（オプト アウトによる第三者提供）参照）。また、要配慮個人情報が含まれる個人 データの漏えい等が発生し、又は発生したおそれがある事態が生じた場合に は、個人情報保護委員会に報告しなければならない（3-5-3（個人情報 保護委員会への報告）参照）。 要配慮個人情報 出所▶

「オプトイン」とは、個人情報（個人データ）の本人から、「私の個人データを 第三者に提供してよいですよ」というはっきりした同意を得ることをいいます。 これに対し、「オプトアウト」とは、個人情報（個人データ）の本人から「私の 個人データを第三者に提供してよいですよ」というはっきりした同意はとらない けれど、本人が「私の個人データの第三者提供を止めてください」と求めたとき は、個人データの第三者提供をやめる、という形で個人データを第三者に提 供する形のことです。 オプトインとオプトアウト 出所▶

1-(2) 個人情報漏えいの経路と構造

情報セキュリティ10大脅威2023 出所▼

ランサムウェアによる被害 大阪急性期・総合医療センターで令和4年10月31 日早朝に発生したサイバー攻撃 出所▼

内部不正による情報漏洩 かっぱ寿司前社長に有罪判決 ライバルはま寿司の 営業秘密を不正入手 出所▶

＜番外編＞ 兵庫県A市 全市民46万人余の個人情報USB紛 失 出所▶

＜番外編＞ 「ディノスオンラインショップ」への “なりすまし” 出所▶

＜番外編＞ 焼肉きんぐ運営元 14万件の個人情報を誤削除 出所▼

1-(3) 個人情報流出事例から学ぶ保護対策について

来月(7/24)の予定（宿題） 【グループワーク】個人情報保護に係る事例について学ぶ ご紹介した事故事例について、自社の業務に置き換えて、同様のリスクはありませんか？ ヒヤリとしたことはありませんか？ 【グループワーク】個人情報の流出が発生した場合の対応と再発防止策の検討する どうしたら事故が防げたのか？ 対策を検討してみましょう。

さいごに #サイバーセキュリティは全員参加