個人情報保護法は,5000人を超える個人データを持つ企業を個人情報取扱事業者として対象にしています。それで,中小企業経営者のなかには,個人情報取扱事業者ではないという理由で,個人情報保護について関心を持っていない人もいるようです。ここでは,そのような誤解は危険であることを指摘し,どのように理解すればよいかを説明します。
個人情報保護法そのものに関しては,多くの図書やWebページで解説されています。私のサイトでも大学生の授業教材 (「 個人情報保護法」)で取扱っています。ここでは,この教材程度の理解を前提としていますので,一応お読みになっておいてください。
現実の対応として,「このようなことは違法になるのか」「違法にならないためには,どのような具体的な対策をとればよいのか」が関心事になりますが,ここではそれらに回答しておりません。私は弁護士ではないので,正しい回答をするだけの自信がありませんし,個人情報保護法や省庁が策定した各種ガイドラインでも,グレーゾーンな部分が多くあります。たとえば,いわゆる名簿業者が合法か違法かについてすら,著名な弁護士の間でも両論ある状態です。生半可な回答は危険と思い回避し,それが詳しい図書やWebサイトを参考文献に掲げました。
中小企業でも,5000人を超える個人データを持っている企業は多くありますし,大企業でも個人情報保護法での個人情報取扱事業者の適用除外の業種もありますが,いちいち「個人情報取扱事業者以外の〜」というのは冗長ですので,ここでは,取扱う個人データが少ないことによる非個人情報取扱事業者のことを中小企業といいます。
個人データは,気のつかないところに散在します。それらを合計すると,かなり大量になることもあります。そもそも,個人情報を保護するためには「どこにどのような個人情報があるのか」を明確に把握することが第一歩ですので,これを機会に全社的に調査しておきましょう。
将来,「5000人」が引き下げられることも考えられます。そもそもこの条件は法律(国会の参院両院で決議されて制定される)ではなく政令(法律を執行するためまたは法律の委任を受けて内閣が制定する法規)である「個人情報の保護に関する法律施行令」で定めているので,それだけ改正が行われやすいともいえます。現在では5000人以下であっても,関心を持っておくべきでしょう。
個人情報保護法の第22条では,個人情報取扱事業者に「委託先の監督義務」を課しています。☆
(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は,その監督責任をまっとうするために,中小企業に「個人情報取扱事業者の義務」に違反しないレベルの対策を要求するのは当然ですし,おそらく,それ以上のレベルを要求するでしょう。さらに,複数の個人情報取扱事業者から受託するとき,互いに異なる対策を求められることもありましょう。それらをすべてカバーするには,個人情報取扱事業者以上の対策をしなければなりません。
さらには,そのような対策をしていることが取引条件になりますので,それができていないと取引機会を失う危険があります。
逆にいえば,個人情報取扱事業者義務をカバーした体制を作り,プライバシーマークなどの認証を得た中小企業にとっては,この個人情報保護法は取引拡大のビジネスチャンスになります。すなわち,個人情報保護法を前向きに捉えることが大切なのです。
個人情報保護法を個人情報が漏洩したときに個人本人の権利を保証するものだと思っている人も多いようです。全くの誤解だとはいえませんが,個人情報保護法と個人情報の保護との関係を整理してみましょう。交通法規との比喩で理解するとわかりやすくなります。
そもそも個人情報保護法は,加害者(企業)と被害者(個人)の関係を定めたものではなく,行政と企業との関係を定めたものなのです。個人情報保護法は,「第4章 個人情報取扱事業者の義務」というルールを示し,それを守っているかを調査して,不備な点があれば改善命令を出し,それに従わなければ罰則を適用するという法律です。
その点では,道路交通法と似ています。交通事故にあったとき,被害者は加害者に損害賠償を要求するのは,道路交通法ではなく民法によって示談にしたり裁判にしたりしています。道路交通法は,交通事故が起こらないようにルールを定めたもので,それを守らせるために罰金や免停などの罰則を定めているのですね。
個人情報取扱事業者でなくても,個人情報の保護は必要です。個人情報の取扱が不適切で,被害にあった人は,プライバシー侵害だとして損害賠償を請求することができます。その場合は,企業が個人情報取扱事業者であるかどうかとは無関係です。100人程度の個人データしか持たない企業が,たった1人の個人情報を漏洩しただけだとしても,個人情報漏洩の加害者であることにかわりはありません。
また,個人情報保護法の義務をすべて満足しているからといって,個人情報の漏洩が皆無になるわけではありませんし,漏洩したときに被害者から訴えられないということではありません。交通法規を守っていても交通事故は発生しますし,優良ドライバーだからといって,被害者に損害賠償をする必要がないとか少額になることはないのと同じです。せいぜい,免停が罰金で済むように,個人情報保護法での罰則適用で考慮してもらえる程度のことです。
だからといって,個人情報保護法などは無視してよいことにはなりません。交通法規に従ってルールを守れば,かならず交通事故は減ります。さらに交通マナーをよくすれば,交通事故を起こすことは非常に少なくなります。
それと同様に,個人情報保護法を遵守することは,個人情報を取扱うときの最低限のルールであり,それは社会的責任なのです。そして,それを守るだけでなく,さらに向上することが大切ですが,個人情報保護法に基づくガイドラインでは,継続的に改善向上させるための仕組みを作るようにガイドしています。
企業の持つ個人情報が漏洩したとき,犯人は別にいるので,ある意味では企業も被害者だともいえますが,漏洩情報の本人から見れば,企業の管理不備が原因ですので,企業が加害者(被告)になります。
漏洩事件が起こると,その企業にとって,次のような損失が生じます。
直接的な損失 裁判によるもの 裁判の結果,確定した賠償費用 裁判に要した弁護士費用 裁判によらないもの 漏洩した本人への慰謝料 本人への通知・詫び状の郵送料費 漏洩事実の新聞広告費用など 間接的な損失 対応措置見直しの費用 営業自粛などのよる逸失利益 社会的信用失墜による損失
賠償費用や慰謝料は,漏洩した個人情報が公知情報に近いものかセンシティブ(機微)情報であるかによって大きく異なりますが,次の事例があります。
被害者に支払う金額はむしろ低額ですが,大量に漏洩することが多いので,直接的な費用だけでも大きな額になります。日本商工会議所では,中小企業として典型的な試算例を示しています。この程度の漏洩は,中小企業としても通常ありうる規模でしょう。それなのに,中小企業としては致命的な額の損失になることに留意してください。
○漏洩規模と状況
3千人の個人データ流出。うち1千人が集団訴訟して損害賠償請求。そのうち,大きな実害を受けた者300人。
○損失試算
損害賠償金 3,700万円(10万円×300人+1万円×700人)
見舞金費用 100万円(500円×2,000人 )
謝罪広告費用 500万円
弁護士費用 200万円
合計 4,500万円
直接的な損失も大きいのですが,もっと深刻なのはその後の間接的損失です。企業のセキュリティ担当者へのアンケートでも,損害賠償請求よりも,社会的信用の低下や取引停止の被害が大きいという調査があります。
このように,個人情報の漏洩は,企業存続すらあぶなくする危険があるのです。中小企業といえども,いや中小企業だからこそ,個人情報保護法の動向や個人情報の保護対策に無関心ではいられないのです。
脅威は機会の裏返しです。いち早くこの問題に取り組み,適切な対策をしていることが関係先や業界で評価されるならば,取引条件の改善や新規開拓の強い武器になりましょう。大きな話題になっているのに,一般的には未だ取組みが不十分な現在こそチャンスです。個人情報保護を戦略的な観点から検討するべきだと思います。
企業防衛として考えるか,事業機会と認識するかは別として,ともかく個人情報の保護対策に取り組む必要があります。それには,各省庁や業界団体が策定している個人情報取扱に関するガイドラインを参考にすること,さらには,プライバシーマークの取得を検討するのが適切です。
個人情報保護法は法律ですから,それに違反することは許されません。個人情報保護法に違反しないようにするには,何をどのようにすればよいのか,どのようなマニュアルを作り実施すればよいのか,どのレベルまで要求されているのかなどを理解する必要があります。ところが,そのような質問には,個人情報保護法の条文はあまりにも抽象的で答えていません。
業種・業態は多様ですし,それにより取扱う個人情報の特性も異なるし,保護対策も異なります。それを個人情報保護法だけでカバーすることは困難です。また,個人情報保護法は具体的な保護手段を示す性格のものではありませんので,あいまいな表現になるのはしかたありません。
それで,経済産業省は,「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」,厚生労働省は「福祉関係事業者における個人情報の適正な取扱いのためのガイドライン」など,各省庁が管轄する分野についてガイドラインを策定しています。
これらのガイドラインは,個人情報保護法をその分野の個人情報取扱事業者が理解しやすい表現で事例も掲げて解説しています。例えば,第15条第1項については,経済産業省のガイドラインでは,次のように解説しています。
第15条第1項
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、可能な限り具体的に特定するとともに、個々の処理の目的を特定するにとどめるのではなく、あくまで個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを特定する必要がある。(1.(4)※電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。)。
具体的には、「○○事業※における商品の発送、新商品情報のお知らせ、関連するアフターサービス」等を利用目的とすることが挙げられるが、定款や寄付行為等に想定されている事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定している場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得る。しかしながら、単に「当社の事業活動」、「お客様のサービスの向上」等を利用目的とすることは、できる限り特定したことにはならない。
あくまでもガイドラインであり法律ではありませんが,その分野での主務大臣が策定したものですから,これが法律への適合度を評価する基準であると考えられます。ですから,実務的にはこのガイドラインに従って取り組むのが適切です。
業種によっては,所轄省庁が複数にまたがる場合がありますが,そのときはいくつもの省庁のガイドラインを参照する必要があります。また,「ガイドライン」ではなく「告示」や「指針」という名称で個人情報の取扱について規定しているものもあります。(その主なものは「
参考資料」に掲載してあります)
業界独自でガイドラインを策定しているものもあります。自主規定ですから法的な位置づけは低いといえますが,多くの場合は所轄省庁と密接な意見交流が行われており,省庁もこのような自主ガイドラインを尊重していますので,実際には同等のものと解釈するのが適切です。
自社が個人情報取扱事業者義務を忠実にはたしていることを証明できれば,取引先にも個人顧客にも信用が高まります。
ところが,個人情報取扱事業者義務に違反しているときは行政からの助言や命令を受けますが,現実にすべての個人情報取扱事業者から報告を徴収して審査することはできません。ですから,個人情報保護法を忠実に遵守していることを証明(特に第三者による認証)する手段はありません(これも交通法規と同じです)。
個人情報の取扱に関して適切な管理体制があり,それを適切に運用していることを第三者が認証する制度にプライバシーマーク制度があります。そういうと「プライバシーマークをとるのか?」と思う人が多いようです。たしかに,プライバシーマークの認証を得ることは個人情報取扱事業者義務をはたしていることの証明として適切ではありますが,細かいところでは相違もあります。個人情報保護法とプライバシーマークの関係を理解しておく必要があります。
プライバシーマーク制度とは,(財)日本情報処理開発協会(JIPDEC) が,「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」に準拠して,個人情報の取扱いを適切に行っている民間事業者に対して,“プライバシーマーク”の使用を認める制度です。
JIS Q 15001は,個人情報の取扱に関する日本工業規格(JIS)です。JISは,品質が一定水準を満たしていることを認定するための基準です。
☆
JIS Q 15001の構成は,
4.1 一般要求事項
4.2 個人情報保護方針
4.3 計画・・・Plan
4.4 実施及び運用・・・Do
4.5 監査・・・Check
4.6 事業者の代表者による見直し・・・Action
となっており,PDCAサイクルで継続的改善を図ることを意識しています。
そして,例えば4.4は,
4.4.2 個人情報の収集に関する措置
4.4.3 個人情報の利用及び提供に関する措置
4.4.4 個人情報の適正管理義務
4.4.5 個人情報に関する情報主体の権利
のように具体的な要求事項が示されています。
その要求事項を満たす内容を,
ポリシー(基本方針)
スタンダード(規程)
プロシージャー(細則・手順書)
マニュアル
の体系で文書化し,それにそれに従って運用管理をすることとしています。
すなわち,「コンプライアンス・プログラム」とは,マネジメントシステムと同じような意味だといってよいでしょう。
認定を受けようとする企業は,JIS Q 15001の要求事項を満たす文書を作成し,審査機関がそれらが適切であるか,実際にそれが行われているかを審査して,それに合格すればプライバシーマークの使用が認められます。
2年ごとに更新審査があり,その間に向上していることが求められます。その審査で不合格になると,認証が取り消されます。
このように,ISO9003と似た制度になっていますが,次の点が異なります。
・原則として企業全体が対象で,本社だけ工場だけという事業所単位ではありません。
・更新審査で取り消されると,JIPDECのWebページで公表されます。
プライバシーマークの取得は,下図のステップで行われます。通常は申請からマーク取得まで8ヶ月といわれていますが,申請が多いときには,1年近くかかるといわれています。
取得に要する費用のうち,審査やマーク使用料などにかかる費用は下表のとおりです。実際には,コンサルタントの協力が必要ですし,状況によっては情報システムの構築や改訂も必要になりますから,それらの費用もかかります。
個人情報保護法は法律ですから,絶対に守らなければならない最低限のルールだといえます。それに対してプライバシーマーク制度は,JISで要求される一定水準のレベルを満たし,しかも継続的な全社的活動として常に向上していく体制になっていることを,個人情報取扱に高度な対応をしていることを第三者に認証してもらうことが目的です。
比喩でいえば,個人情報保護法は小中学の義務教育であり,プライバシーマーク制度は高校→大学→大学院へと進学していくプロセスであり,プライバシーマークはそれらの卒業証書および上級校への入学試験合格証書だといえます。
このようなプライバシーマークを取得することにより,多くのメリットが得られます。
このように,直接的な利点以外に,経営全般での改善メリットがあります。むしろ,それを目的として,その手段としてプライバシーマーク取得を位置づけるほうが適切だし,そのほうが成功するともいわれています。これは,ISO9003取得での認識と同じです。
しかし前述のように,プライバシーマーク取得には多大な費用や時間がかかります。しかも,取得した後での努力を怠ると,更新審査で不合格になりマークが使えなくなるどころか,失格したことを公表されてしまいます。プライバシーマーク取得は後戻りできない覚悟が必要です。
双方とも,基本的にはOECD8原則に立脚していますが,プライバシーマーク制度は個人情報保護法よりも先に策定されたJIS Q 15001:1999(JISと省略)への適合度を評価基準にしています。このJISは,海外の規格との互換性を考慮していますし,プライバシーマーク制度も海外の制度との連携を保つなどの事情もあり,細かい点では違いがあります。
とかく個人情報漏洩が話題になりますが,守らなければならない情報は個人情報だけではありません。自社の機密情報が漏洩すれば大きな損害ですし,他社との取引情報が漏洩すれば,他社に多大な迷惑をかけます。商取引に直接関係なくても,情報セキュリティ対策が不十分なために,ウイルス付きのメールをばら撒くのに加担したり,第三者のWebサイトの攻撃の踏み台にされたりすることは,社会的責任をはたしていないことになります。個人情報保護を情報セキュリティ対策の一環として考えることが効果的です。
情報セキュリティ対策に関しては,以前から多様な基準やガイドラインが策定され,対策方法も確立しています。それについては,私の大学での授業教材「 情報セキュリティ」シリーズで詳述していますので,ここでは簡単に述べるにとどめます。
情報セキュリティ対策全般に関しては,個人情報保護法に相当する法律はありませんが,経済産業省は2003年に「情報セキュリティ監査制度」を策定しています。これは,情報セキュリティマネジメントの基本的な枠組みと具体的な管理項目を規定することによって、組織体が情報セキュリティマネジメント体制の構築と、適切なコントロールの整備と運用を効果的に導入できるように支援することを目的」とした情報セキュリティ管理基準と,「情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から」監査するための情報セキュリティ監査基準からなっています。
情報セキュリティ対策の分野でのプライバシーマーク制度に相当するのが,ISMS適合性評価制度です。これは,「経営陣および要員が,効果的なISMS(情報セキュリティ・マネジメントシステム)を構築し,運営管理していくためのモデルを提供することを目的」として,「組織の事業上のリスク全般に対して,文書化されたISMSの確立,導入,運用,監視,見直し,維持および改善に関する要求事項を規定するもの」であり,「組織は,自らの事業の活動全般およびリスク全般を考慮して,文書化されたISMSを構築,導入,維持し,かつこれを継続的に改善すること。本基準で使われるプロセスはPDCAモデルに基づいている」。
具体的には,ISMSの要求する事項を満たした文書類を整備して,それを第三者機関(JIPDEC)の指定する審査機関が,その文書を審査し,それが実際に行われているかを審査して,合格すればISMS認定企業として公表します。
双方の制度も国際的に広く認められている英国規格BS7799をベースにして作られています。BS7799には,規範仕様(ベストプラクティス)のパート1と,要求事項(審査・認証の仕様)のパート2があります。パート1は ISO/IEC1799,JIS X 5080に採用され,それをベースに情報セキュリティ監査制度になりました。ISMS適合性評価制度はパート2に基づいています。
それで,情報セキュリティ監査制度は情報セキュリティ対策を高めるための手段方法を示したものであり,それを第三者が審査して認証するのがISMS適合性評価制度であるという位置づけになります。まだ情報セキュリティのマネジメントが十分に根付いていない段階では,情報セキュリティ監査制度により専門家による実施状況のチェックや助言を得ることにより,より高度な段階に進むのが適切だし,ある程度のレベルに達したら,ISMS認証制度により証明してもらうのがよいでしょう。
ここで重要なのは,これらで対象にしているのは,コンピュータでの情報システムだけではありません。紙での情報や人間の会話など,情報に関するすべてのリスクを対象にしていることです。これも,個人情報保護法やプライバシーマーク制度と一致しています。
情報セキュリティ対策の手順は,次のように行います。個人情報の保護対策も,ほぼこれと同じであるとしてよいでしょう。
情報セキュリティ監査制度とISMS適合性評価制度も,情報セキュリティ対策とはいわずに,情報セキュリティ・マネジメントといっています。それは,単に対策を講じるというのではなく,マネジメントとして運営することが重要だという考えからです。
このように,情報セキュリティ対策も個人情報の保護対策も,同じような対象について,同じようなアプローチをするのですから,個人情報保護を検討するときには,情報セキュリティ対策も合わせて検討するのが効率的でもあり,効果的でもあります。
前節では,標準的な対策を示しました。これは多くの経験から学んだベストプラクティスですので,それに従って対策するのが王道であり,成功への早道です。
しかし,多くの中小企業の現在の成熟度は低く,プライバシーマークを取得するまでには,かなりの時間がかかるでしょう。その間も個人情報漏洩の脅威はあるのです。とりあえず,降ってくる火の粉をはらわなければなりません。そのポイントを列挙します。
漏洩防止も重要ですが,漏洩した後の対策も必要です。前述のように,漏洩事件が発生すれば,数千万〜数億円の費用がかかり,中小企業にとっては致命的なことになります。自動車を購入したら保険に入るのと同様に,まず,「個人情報漏えい保険」に加入しておきましょう。
全国商工会では,2005年から商工会会員を対象とした「個人情報漏えい保険制度」を発足させました。団体割引保険料を適用し,リスク診断サービスを無料提供するなどの特徴があります。
補償対象 損害賠償に関する補償 ・損害賠償金、訴訟費用 ・弁護士への着手金、成功報酬等 費用損害に関する補償 ・謝罪広告掲載費用・見舞品購入費用 ・お詫び状作成郵送費用・事故原因調査費用等 年間保険金額(一次払払)は,賠償責任の補償金額の10%
効果的な管理するには,管理する対象を絞り込んで,「見える」ようにするのがコツです。
このようにいうのは簡単ですが,これを実際に行うのは大作業ですし,全員が積極的に取り組まないとザルになってしまいます。逆にいえば,ここまでできたら五合目まで登ったようなものです。
個人データの整理をするだけでも「個人情報保護対策チーム」のような体制が必要です。全社的な取組みになりますし,これまで社員個人の資産のように思われたものを取り上げるのですから反発もあります。特に中小企業では経営者の意思が強く反映するので,経営者自らがチームを率いなければなりません。
しかも,名目だけでなく,実質的にリーダーシップをとること,率先して取り組むことが重要です。経営者も自分が持っている個人データをさらけだすことになります。自分は例外だというのでは,社員はついてきません。
経営者の不退転の決意を示す必要があります。いろいろな機会を使って話をすること,プライバシーポリシーとまではいかなくとも,正式な表明文書を作り,全員が見える場所に掲げることなどが,社員全員に経営者の決意が浸透します。
たとえば,次のような費用も労力もあまりかからないことは,ぜひ実施するべきです。しかも,これらにより社員の意識が高まります。
ご先方の都合により,リンク切れになっていることもあります。ご発見のときは,ご連絡いただければ幸甚です。
★個人情報の保護に関する法律(全文)
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/030307houan.html
★首相官邸「個人情報保護法の解説」
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ronten.html
★個人情報の保護に関する法律施行令(平成十五年十二月十日政令第五百七号)
http://www.mhlw.go.jp/shingi/2004/06/s0623-15j.html
☆木暮 仁「Web教材 個人情報保護法」
http://www.kogures.com/hitoshi/webtext/sec-kojinjouhouhogo/index.html
★直江とよみ「やさしく読む個人情報保護法」
http://www.atmarkit.co.jp/fsecurity/rensai/privacy01/privacy01.html
★相馬浩平「個人情報保護法対策ポータル〜個人事業主・中小事業主が知っておきたい知識と対策」
http://www.kojinjyouhou.jp/index.htm
★(書籍)個人情報保護法研究プロジェクト(代表:牧野二郎)著
『実践! 個人情報保護〜弁護士による核心的Q&A』,毎日コミュニケーションズ,2005年
★gooリサーチ・日刊工業新聞「個人情報保護法および情報セキュリティー対策に関するアンケート調査」2005年3月31日
http://research.goo.ne.jp/Result/0503cl15/01.html
★経済産業省 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月22日)
http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf
★厚生労働省「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(2004年7月1日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/koyou.pdf
★厚生労働省「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」(2004年10月29日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/tsuutatsu.pdf
★厚生労働省「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針の一部を改正する告示」(2004年11月4日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/shokugyou.pdf
★厚生労働省「派遣元事業主が講ずべき措置に関する指針の一部を改正する告示」(2004年11月4日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/haken.pdf
★厚生労働省 「福祉関係事業者における個人情報の適正な取扱いのためのガイドライン」(2004年11月30日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/fukushi.pdf
★厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(2004年12月24日)
http://www.mhlw.go.jp/houdou/2004/12/dl/h1227-6a.pdf
★厚生労働省「健康保険組合等における個人情報の適切な取扱いのためのガイドライン」(2004年12月27日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/kenkou.pdf
★厚生労働省「医療情報システムの安全管理に関するガイドライン」(2005年年3月)
http://www.mhlw.go.jp/shingi/2005/03/dl/s0331-8a.pdf
★経済産業者「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」(2005年12月17日)
http://www.meti.go.jp/press/20041217010/041217iden.pdf
★文部科学省「学校における生徒等に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(2004年11月11日)
http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou/seito.pdf
★JIPDEC「プライバシーマーク制度」
http://www.jipdec.or.jp/security/privacy/
★JIPDECプライバシーマーク事務局スタートページ
http://privacymark.jp/
★全国商工会「日商・個人情報漏えい賠償責任保険制度」
http://www.jcci.or.jp/sangyo/rouei-hoken/index.html
★沖縄県商工会連合会「全国商工会個人情報漏えい保険制度」
http://www.oki-shokoren.or.jp/kyosai/rouei/rouei.html
☆木暮 仁「Web教材 情報セキュリティ・マネジメント」
http://www.kogures.com/hitoshi/webtext/ism-intro/index.html
★IPA「OECDセキュリティガイドライン(改訂)」(2002年)
http://www.ipa.go.jp/security/fy13/report/oecd-guideline/oecd-guideline.pdf
★経済産業省「システム監査基準」・「システム管理基準」(2004年10月)
http://www.meti.go.jp/policy/it_policy/press/0005668/0/041008system.pdf
★経済産業省「情報システム安全対策基準」(1999年8月)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
★警察庁「情報システム安全対策指針」(1997年9月)
http://www.npa.go.jp/hightech/antai_sisin/kokuji.htm
★経済産業省「コンピュータウイルス対策基準」(1995年7月)
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
★「不正アクセス行為の禁止等に関する法律」(1999年)
http://www.npa.go.jp/seiankis5/houann.htm
★経済産業省「コンピュータ不正アクセス対策基準」(1996年8月)
http://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm
★総務省「情報セキュリティポリシーに関するガイドライン」(2000年7月)
http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline.pdf
★経済産業省「情報セキュリティ監査制度」(2003年3月)
http://www.meti.go.jp/policy/netsecurity/information_audit.html
★JIPDECISMS制度推進室「ISMS適合性評価制度」(2003年1月)
http://www.isms.jipdec.jp/
★JIPDECISMS制度推進室「ISMS適合性評価制度認証基準 Ver2.0」(2003年4月)
http://www.isms.jipdec.jp/doc/JIP-ISMS100-20.pdf