先日セキュリティベンダーから「個人情報保護法が成立しましたので、セキュリティ機器を導入しなければ違法になりますよ」と言われました。本当でしょうか。
個人情報保護法第20条では、個人情報の安全管理措置を取ることが個人情報取扱事業者の義務とされています。もっとも、どのような安全管理措置をとれば、この条文上の義務を満たしたことになるかは明確ではありません。各種のセキュリティ基準や、国や地方公共団体が定めたガイドラインを参考にして、セキュリティ確保のための措置を取っていくことになります。少なくとも現時点において、特定のベンダーの製品や、特定の機能を有する製品の購入・導入が義務づけられているわけではありません。