----------------------------------------------------------------------
(個人情報保護に関するシステム監査について)
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1 私が関わったシステムの概要と個人情報の取り扱い
----------------------------------------------------------------------
1−1 システムの概要
----
私は中堅のソフトウエア開発会社A社に勤務して15
年目の中堅社員である。普段は開発部門のチームリーダ
として開発業務に携わっているが、普段からシステム監
査関連能力の自己啓発を行なっており、今回その能力を
買われ、C社からの受注開発を行なったシステムの監査
を担当することとなった。
C社は大手インターネットサービスプロバイダで、今
回開発したのはインターネット上でのオンラインショッ
ピングシステムである。このシステムではC社が各種分
野のメーカの販売代理店となり、それらメーカの製品を
C社のホームページ上で購入可能としている。購入手続
はC社で行なうため、代金決済や配送のために必要な個
人情報はC社で取り扱う必要がある。
またC社はIT関連の技術スキルが低かったことから、
本システムの保守運用全般をA社にて行なうこととなっ
た。これに伴い、システムを構成するサーバ群もA社内
に設置することとしている。
----
1−2 システムにおける個人情報の取り扱い
----
本システムでは個人情報としては主に以下のものを取
り扱っている。
a.決裁の必要情報(カード番号、銀行口座番号)
b.配送の必要情報(住所、氏名、電話番号)
c.マーケティング関連情報(住所、氏名、電話番号、年
齢、性別、家族構成、購買履歴)
C社はプロバイダサービス実施にあたり契約者情報を
管理する必要があったため、個人情報保護に関する管理
基準を設けている。今回のシステムで取り扱う個人情報
についても基本的にその管理基準に沿って管理すること
としており、サーバ設置を行なうA社においてもその管
理基準に従うことが求められた。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2 個人情報保護の観点から想定されるリスクと
組み込むべきコントロールの内容
----------------------------------------------------------------------
前項で述べたシステムに関し、私が想定したリスクと
組み込むべきコントロール内容は以下の通りである。
----
2.1 個人情報収集の視点
----
個人情報の収集にあたっては、顧客に対し情報の用途
を明示する必要がある。このため今回のシステムではユ
ーザは個人情報入力画面上で情報の収集目的、用途を表
示することとしている。
しかし、入力画面上には各種広告等も表示されており
広告の変更に伴い入力画面の更新を行なう必要があるこ
とから、誤って更新が行なわれた場合、「収集目的が表
示されない」または「誤った収集目的が表示される」事
態となる可能性がある。
そのため、このリスクをコントロールする方法として
画面更新作業が行われた際、自動的に画面確認の担当メ
ンバにEメールで通知しリアルタイムでの画面確認が可
能となるようにすることが必要と考えられる。
----
2.2 個人情報蓄積の視点
----
収集した個人情報はA社内に設置したサーバに蓄積す
ることとしているが、リスクとして「データの漏洩およ
び改ざん」が想定される。
これらのリスクをコントロールするためには以下の対
応を行なう必要がある。
(1) A社内における対応
A社はシステムの保守全般を請け負っていたが、個人
情報の内容を参照/変更する作業はC社にて行なうこと
としていたことから、A社からの個人情報へのアクセス
を禁止する。具体的には、サーバを設置する空間を施錠
しサーバを操作できるメンバを限定するとともに、個人
情報データを暗号化し、万一悪意者がサーバの中を見て
も直接データが参照できないようにすればよい。
(2) C社内における対応
C社からA社のサーバへの個人情報へのアクセスの際
にデータが漏洩することを防止するため、今回のシステ
ムでは個人情報アクセスの際の通信を暗号化する対応が
有効である。併せてこの暗号化通信機能を利用できるメ
ンバを限定することで個人情報へのアクセス制限を実現
可能となる。
また万一データの改ざんが行なわれた場合の対策とし
て、個人情報データへのアクセスログを収集可能とする
とともに自動定期バックアップ機能も組み込むべきであ
る。
----
2.3 個人情報利用および提供の視点
----
個人情報の利用および提供にあたり想定されるリスク
は情報収集時にユーザに提示した利用目的および提供先
とは異なる情報の利用および提供を行なうことである。
このリスクをコントロールする方法としては、個人情
報のデータベース上に「情報利用範囲」「情報の提供先」
のデータも一緒に設定しておけばよい。
個人情報の利用や第三者への提供の際にはこれらのデ
ータを参照することで、誤った利用や提供を抑止するこ
とが可能となる。
----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3 個人情報にかかわるコントロールの適切性を
監査する場合の留意点
----------------------------------------------------------------------
前項で述べたコントロール方法に対し、私の考えるそ
の適切性を監査する際の留意点は以下の通りである。
----
3.1 個人情報収集の視点
----
収集の視点においては、画面確認担当メンバの確認が
適切に行われているかどうかに留意して監査すればよい
と考える。
具体的には、画面確認の実施結果が保存されているこ
と、およびその実施結果の中で画面更新が行なわれた際
に画面確認を実施しているかどうかに留意する必要があ
る。
----
3.2 個人情報蓄積の視点
----
蓄積の視点においては、サーバが設置されているA社
および個人情報の操作を行なうC社の両方が監査対象と
なる。
A社内のコントロールの監査を行なう際の留意点とし
ては、施錠されたサーバ室の入退室記録が保存されてい
ること、および入退室記録上で退室時の施錠をチェック
項目として挙げているかがポイントと考えられる。
一方、C社内のコントロールの監査を行なう際の留意
点としては、業務変更等により個人情報を操作する担当
者が変更となった際の対応として、アクセス権限の変更
履歴を保存し、旧担当者のアクセス権限が削除されてい
ることがポイントと考えられる。
----
3.3 個人情報利用および提供の視点
----
利用および提供の視点における最初のポイントしては、
個人情報の利用または提供を行なった際の履歴として
「情報の用途」「情報の提供先」が保存されていること
が挙げられる。
更に、万一、個人情報収集時と異なる用途や提供先に
対して情報を利用提供した場合の対応方法として、ユー
ザに対して再説明を行ない了承を得た、という履歴を保
存していることも重要なポイントであると考えられる。
− 以 上 −
[ 戻る ]