世界における個人情報保護の動き

前回は、プライバシーに関する現代の考え方として、OECDのガイドラインについて説明しました。そして、日本の個人情報保護法もこの考え方を規範として制定されていることにも言及しました。

では、世界はどうでしょうか?

抑えておきたいのは、EUのデータ保護指令です。
EUは説明するまでもなく、欧州連合のことですが、EU発足にあたり、各国がバラバラに定めていたデータ保護に関する規則をまとめたものです。

「EUデータ保護指令」とは、ひとことにまとめると、EUおよび英国において個人情報に関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止する、というものです。ちなみに、日本もアメリカも「十分なデータ保護レベルを確保していない第三国扱いとなっています」日本の個人情報保護法では、不十分ということですね。

※ただし、アメリカは認証を受けた企業ごとに認めるという協定(セーフハーバー協定)を結んでいます。

余談になりますが、現代のクラウド上において、世界レベルでデータの分散保持をして、レプリケーションなどをとっている場合は、非常に注意が必要な事項になります。

守るためのCISSPとしての態度

さて、次はCISSPにとってより重要な、その「守り方」について解説をしていきたいと思います。

個人を特定する情報については、当然各国の法を遵守することが求められますが、個人によって扱いが異なるプライバシーについては、微妙な点が多々あります。ある人にとってはプライバシー侵害と感じることが、別の人には感じなかったりするためです。
すなわち、客観的な基準がないことになります。

ですので、CISSPとして注意しなくてはならないのは、「慎重な人」(一番気を使っている人)のルールに合せないと問題がおきることがあると認識して、それに合わせた行動をとることです。

また、第三者が見て「妥当な注意(Due Care)」と認識される、保護の仕方をしておく必要があります。

まとめますと、非常に解釈の幅の広く、明確な基準のないプライバシーというものは、妥当な範囲で慎重に扱いましょうということになっています。

組織の従業員のプライバシー

もう一点、CISSPとして配慮しなくてはならないプライバシーは、所属する組織の従業員のプライバシーについてです。

セキュリティ向上プログラムの解説時にも書きましたが、従業員の業務態度をモニタリングするためには、予めその「ポリシー」に対して「許可」を取っておくことが絶対に必要。
となります。また、また、適切な「トレーニング」を行い、そのことを理解させておくということが必要になりますので、妥当な注意の実施を浸透させる責務もCISSPは負っていることを理解しておいてください。

次回の記事へ
前回の記事へ