セキュリティ対策コラム　― 国民生活センターの報告を読んで ―個人情報保護法が抱える課題

事業者における情報漏洩対策が進んだことや、漏洩事件の発生当事者による発表が速やかに実施されていることを見ると、同法が有効に機能していると思われると評価する一方、文字づらからの条文の形式理解によって、過剰反応している例も現れているとの問題も指摘しております。国民生活センターに寄せられたほんの一部の苦情・相談を下記に紹介します。

• JR宝塚線の事故で、家族による病院への問い合わせに答えてもらえなかったケース。
• 町内会や学校教育等の現場での名簿や写真帳、電話帳、卒業アルバム等が作れなくなったり、法律上の問題点について心配しているケース。
• 全ての利用目的に同意しないと契約できない定期預金。利用目的には、DMの発送や提携会社の製品紹介等、広すぎる利用目的を特定したケース。

法律が施行された後も個人情報の漏洩事件は後を絶たず、漏洩企業は信用失墜や損害賠償等によるダメージを受ける事例が多くなっています。こうした状況の中で、企業は個人情報の漏洩に極めて過敏になっており、個人情報扱の扱いとともに社員が業務に使う情報処理機器への利用制限は益々厳しいものになっています。さらには、「危ないからできる限り個人情報は収集しないように！収集したものは即廃棄するように！」という話さえもよく聞くようになっています。本コラム「06.01個人情報保護法が意味するもの」でも書きましたように、「情報を守る」ことだけに目が行き勝ちになりますので、「情報を適切に生かすこと」が情報セキュリティの大きな目的の一つであることを忘れないようにしたいものです。

しかしながら、情報漏洩の大半は内部の従業員もしくは派遣者・委託者に起因するものが多く、人間要素が大きく係わるだけに「10.21注目されるガバナンス時代の個人情報保護の仕掛け」でも述べましたように、教育や運用体制のみならず技術的な仕掛けの助けをうることも重用になってきます。

さて、国民生活センターでは、社会に定着している名簿や連絡網、緊急医療機関での個人情報の提供が形式的な法律の解釈や運用の下で存在できなくなったりすることは、個人情報保護法の本来の趣旨そったものとは言えない。として「（1）「過剰反応」に際し明確な解釈基準の必要性等についての理解（2）消費者の信頼獲得のためには、トレーサビリティの確保とオプトアウト（本人の申し出により個人情報の第三者提供を停止すること）の周知・徹底等」、を求められる課題として挙げております。 そして、報告書の最後では、事例を積み上げるとともに、解釈基準の明確化を通して広く社会のコンセンサスを得ていくことが大切であると結んでおります。

現在情報セキュリティの世界は、「技術」、「マネージメント」の時代を経て「ガバナンス」の時代に入ろうとしています。「ガバナンス」は、色々な側面がありますが、企業が直面する種々のリスクをコントロールするためのビジネスプロセスとも捉えることができます。法令違反もリスクの一つです。古くからリスクは不確実性を有するマイナス面と見て、従来から如何にリスクを最小化するかを問われていましたが、昨今では「事業機会（ビジネスチャンス）」であるプラスの面としても捉えるようになってきております。このコラムでもお伝えしてきているように、個人情報保護法に限らず日本版SOX法を初めとする規制強化が次々と出てくる中で、それらを事業機会として捉えて、ガバナンスを展開しようとしている企業も現れています。そうした企業については、別の機会に紹介したいと思っています。