セキュリティ対策コラム個人情報保護法が意味するもの

個人情報保護法の第一章総則「目的」では、「高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大している」との観点から「（抜粋）個人情報を取り扱う事業者の遵守すべき義務を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護する」としている。ここで注目すべきは個人情報の有用性について配慮しつつ、としていることです。もう少し積極的な言い方をすれば「個人情報をうまくビジネスに活用するために、然るべく個人情報を保護する義務を負う」と捉えるべきでしょう。

本保護法では罰則規定があり、また情報漏洩による事業者の経済的損失、また一旦失った信用やブランド価値の再構築も難しいこと等から、どうしても各事業者は「情報を守る」ことだけに目が行き勝ちになります（ある意味過敏になっていると言えるかもしれません）。「危ないからできる限り個人情報は収集しないように！収集したものは即廃棄するように！」という話もよく聞きますが、「情報を適切に生かすこと」が情報セキュリティの大きな目的の一つであることを忘れないようにしたいものです。

暗号技術やアクセス制御技術等の情報漏洩対策技術が浸透しつつありますが、人的誤りや意識が低いために引き起こされる情報漏洩、あるいは内部者による意図的漏洩といった全従業員に潜在する人的セキュリティホールへの対応は、今だ有効な手立てが見出せないでいるように思われます。そんな中、クライアントPCの動きや電子メールのモニタリングによる不正の抑止や、誤りを回避するようなプロアクティブ（事前防止）なサービスが注目されています。既に米国においては、一般化し始めていますが、プライバシ問題とも関わるため、社内体制等の適切な環境整備と従業員との契約での明示などの合意形成が欠かせません。

一昨年、OECD(経済協力機構)が10年ぶりにセキュリティガイドラインを改訂しました。個人情報保護法も参考にした9原則は多少かわったものの、殆どその内容は変わっていません。新たに加えられた本質的で重要な点が、ガイドラインに度々登場します。Culture of Security（セキュリティ文化）ということです。文化というと日本人にとって、なかなか理解し難い言葉ですね。企業文化の方は定着しておりますので、比較的わかりやすいでしょうか。企業文化はその企業の経営理念のもとに、全社員が一丸となって企業としての成長に邁進することです。

同様にセキュリティ文化は、セキュリティポリシのもとに全社員が参加して安全性、信頼性を追及するものです。OECDのガイドラインでは、このセキュリティ文化を組織内、社会に根付かせることの必要性を強く訴えているのです。一般に全社員教育となると一丁一石には難しい問題です。最近、全社員教育のメソッドとして、自然の内に気づかせながら意識を持たせるという新しいラーニングシステムも現れているようですので、期待しているところです。