とか言ったら、すげえ集客なのかなあ(笑)?
っていうかツッコミどころは多数あるんだけど、
- 法律への「対策」って何?
法律への対策じゃなくて、重要なのは情報セキュリティ対策っすよねー。
- 今から間に合うって何?
間に合う間に合わないってことじゃなくて、ポイントは当たり前のことをちゃんとやりましょうってことだよね。
っていうか、必要なのは当たり前のことをやるってことだと思うのですが、当たり前のことって何かって言えば、苦情処理*1と利用目的開示などのいわゆるプライバシーポリシーの作成と公開*2、そして漏洩対策ってことだよね。前の二つは割りとやることやるだけって感じだけど、まあちょっと難しそうなのは漏洩対策なのかな。
漏洩対策っていろいろあると思うけど、ポイントは個人データを大量に抜かれないようにするってことじゃないかなあ?業務に絡む人すべてがノーミスってことは非常に難しいだろうし、小規模な漏洩、忘れましたとかそういうのは無くならないと思うんですが、そーすっと無くなりそうなもの(ノートPCとか)に大量の個人データを入れさせるのかどうか、というのが論点ですよね。ちょびっとだったらいいけど、大量に、まして全データを入れさせるというのは、よほど考えないとあきませんわな。
・・・というふうに、大量の個人データをどこで使っているのか、というのを追いかけて、こりゃヤバイだろ、という場所、PCなどでは利用を止めたり、代替手段を考えたりする。漏洩対策ってのはまずはここからでしょうかねー。
法律の「対策本」とかを大量に買ってさまざまな定義について厳密に研究するより、とっとと漏洩対策やったほうがいいんじゃないのかなー(笑)。ISMSもそういう傾向あるけど、実質の対策をどうすすめるのか、っていうほうが重要で、ISMS上何がどういう定義でということなんてぶっちゃけどーでもいいっていうか(爆笑)。*3