TOP > 連載 > これからの銀行を支えるIT戦略

第1回 個人情報保護法とIT (1) 個人情報保護法のインパクト|これからの銀行を支えるIT戦略

著者:株式会社電通国際情報サービス 石沢利明

いよいよ2005年4月から「個人情報の保護に関する法律(個人情報保護法)」が全面施行されました。金融機関では、この法律が公布される前から、個人情報保護に関する自主的な対策が進められてきています。それゆえ、この法律が施行されることで、IT面ではどこまで追加対策が必要なのか、もしくは不要なのか判断がつけられない、という声を多くの金融機関から聞きました。しかし業法の改正や、金融情報システムセンター(FISC)の安全対策基準の改訂を受けて、その状況は大きく変わりつつあります。

技術対策指針の変遷

1. 平成17年4月 法律
個人情報保護に関する法律:第20条 安全管理措置

2. 平成16年12月 ガイドライン(金融庁)
金融分野における個人情報保護に関するガイドライン:第10条 安全管理措置

3. 平成17年1月 実務指針(金融庁)
金融分野における個人情報保護の関するガイドラインの安全管理措置等についての実務指針

4. 平成17年3月 自主ガイドライン(FISC)
安全対策基準の個人情報保護法準拠に向けた第6版改定

「安全管理措置」の義務化

これまで金融庁の金融検査において、システムリスク管理の検査については、FISCの安全対策基準を参照するように記述されており、安全対策基準は自主ルール的な扱いとされてきました。システムリスク管理については、個人情報保護法の施行を受けて、安全管理措置という名のもと、業法(銀行法施行規則)の中でも、「義務規定」として記述される予定です。これにより、規定違反に対しては銀行法26条の業務改善命令や、業務停止等の厳しい罰則が適用される可能性もあります。この安全管理措置が「義務化」され、かつ「罰則」も明確になったことで、これまでとは違う取り組みが求められています。

求められるIT対策

業法においては、"個人である顧客の情報に関する安全管理、当該情報の漏洩、滅失又はき損の防止を図るために必要かつ適切な措置を講じなくてはならない"という義務事項を求めています。安全対策基準の第6版改定においても、目指すところは、当該義務事項を充足することにあります。さらにその改定で変更のあった基準項目は、安全対策基準上の義務規定に当たるものが多く、要求される対策については、入念な検討を要するところであります。

次回以降3回に渡って、安全対策基準において新しく規定された主要な技術項目について、技術的なバックグランドや、その具体的な対策について紹介していきます。