|
■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「YES」か「NO」か、考えてみてください。
Q.個人情報保護法上、病院の病室に入院患者の氏名を掲示することは避けた方がよい。
|
| |
(1)YES(そう思う)
(2)NO(そうは思わない)
|
| ※解答及び解説は本文末尾に記載しています。 |
■情報セキュリティ基礎講座
「政府とISMS」
11月18日付け朝日新聞朝刊に「役所が情報機器などを調達する際、一定のセキュリティ対策を備えない企業は入札に参加できないという提言を、政府の情報セキュリティ政策会議がまとめた」という記事が掲載されていました。
具体的には、企業が政府の入札に参加する際に「ISMSなど」の取得を条件にするという内容ですが、今まででしたら「Pマークなど」と記載されていたのではないでしょうか。この「など」の内容は現段階でははっきりしませんが、世の中の流れがISMS(ISO27001)に注目する流れになってきていることは確かだと思われます。
もちろん個人情報の保護はとても大切ですが、それだけで企業の抱えるリスクを抑えることが出来ないのも明白です。そこでクローズアップされたのがISMSなのかもしれません。
この「入札条件化現象」は、ISO9001が建設業界において官公庁の入札条件となった過去の現象と似通っています。結局ISO9001は現在5万社近い企業が取得するに至っています。現在、ISMS(ISO27001)の認証取得社数は千数百ですが、今後も大きく伸びていく可能性を秘めています。
いずれにしろ、企業評価の新たな尺度として「情報セキュリティ」が大きなポイントになっていくことは間違いないでしょう。
■[連載]〜コンサルの現場から〜
個人から、自身のデータの削除要求が来たらどうすればよいか
通販を行っているある業者では、購入実績のある顧客に対し、定期的に電子メールでDMを送付している。当然ながら個人情報保護法に従って、「DMでのお知らせ」という利用目的を通知し、同意を得てから送っているのだが、ある顧客から「もう、DMは送らないで欲しい」と申し出があった。
それだけなら、利用停止という形で処理ができるのだが、さらにその顧客は「ついでに、自分のデータをすべて削除して欲しい」と言ってきた。先方は少し法律をかじっているようで「個人情報保護法上の削除要求である。削除しなければ法律違反だ」とまで言い出した。
このケースでは、顧客の申し出に応じなくても良い。
利用停止はするが(DMは送らないが)、すべてのデータを削除しなくても良いのである。購買実績があるということは、その顧客との間で商取引が発生しているわけであり、その際の記録(注文データ、請求データなど)は、企業として一定期間保管しておかなくてはならないものである。
ただし、購買実績のない個人の情報に関し、本人から削除の要求が来たら、応じた方が無難であろう。間違って利用すれば、クレームは必至である。
---------------情報セキュリティ意識チェック 解答・解説--------------
Q.個人情報保護法上、病院の病室に入院患者の氏名を掲示することは避けた方がよい。
(1)YES(そう思う)
(2)NO(そうは思わない)
(2)NO(そうは思わない) が正解
個人情報保護法施行後、こういった病院が増えてきましたが、行き過ぎたケースであり、過剰保護と言っても良いでしょう。
患者の取り違いによる医療ミスの発生や、緊急処置に遅延が生じる可能性があります。生命や身体の安全は、個人情報保護よりも優先する事項です。
|
