〔42〕プライバシーマークへの「絶対保証」という誤解

ITpro

2006.05.18

　前回の「個人情報漏えい事件を斬る（41）：JR宝塚線脱線事故の「過剰反応」で考える個人情報保護 」で触れたように，ルールには「事前規制型」と「事後チェック型」という2つの考え方がある。今回は，この2つの観点から，個人情報保護の規格であるJIS（日本工業規格）Q15001及びこの規格に準拠した第三者認証制度であるプライバシーマークの動向について考えてみたい。なお，制度の具体的な内容等については，財団法人日本情報処理開発協会の「プライバシーマーク制度 」ホームページに掲載されているので，参考にしてほしい。

「過剰反応」は時間やコストに跳ね返る

　今まで適用されてきた個人情報保護のJIS規格は，JIS Q15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」であり，個人情報保護法の施行前である1999年に制定された。JIS Q15001は，「PLAN（計画）→DO（実施）→CHECK（検証）→ACT（見直し）」というPDCAサイクルの繰り返しによる継続的な改善を前提とした「事後チェック型」の考え方に基づいている。「継続的な改善」は，裏を返せば最初から改善の余地のない完璧な対策は存在しないことを意味する。

　しかしながら，個人情報保護法の施行後に，JIS Q15001やこれに準拠したプライバシーマークをめぐる動きをみると，「取得＝絶対保証」という誤解も見受けられる。

　例えば，情報サービス産業では，外部委託先の選定・発注条件として，プライバシーマーク取得を要求する委託元企業が増えている。その際，個人情報保護に敏感なあまり，漏えいにかかわる一切の責任を委託先に求めようとするケースを結構耳にする。プライバシーマーク取得企業と損害賠償契約を結んでいても，委託元企業の個人情報保護に対する責任を委託先企業に転嫁することはできない。契約段階から「事前規制」でリスクを下げたいという委託元の心情は分からぬでもない。しかし，行き過ぎた「過剰反応」は時間やコスト，作業効率に跳ね返ってくる可能性がある。

　個人情報を取り扱う業務を受託する中堅・中小企業（SMB）なら，業務委託契約の締結段階から頭を悩ますところも多いはずだ。第三者委託の基本ルールのレベルが高くなればなるほど，情報システムのセキュリティ・コストも上昇することになる。

　他方，ファイル交換ソフトによる個人情報漏えい事件などをみると，高度な物理的・技術的対策を施しているはずの，名だたるプライバシーマーク取得企業から個人情報が流出している（その会社のホームページを見れば，取得企業か否かは一目瞭然である）。プライバシーマーク制度の普及により，企業の個人情報保護に対する認識が高まってきたのは事実だが，取得したからといって個人情報が漏えいしない保証はないのが現実だ。

「事後チェック型」と「事前規制型」のバランスが問題に

　ところで，PDCAサイクルが回り続けると，個人情報保護の基本ルールも継続的に見直されることになる。1999年に制定されたJIS Q15001:1999は，その後施行された個人情報保護法に合わせるべく，2006年5月中旬，JISQ15001:2006｢個人情報保護マネジメントシステム−要求事項｣に改正されることになっている（具体的内容については「日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）の改定試案 」参照）。

　以前，「秒読み！個人情報保護法(4)：「個人情報保護方針」をPDCAサイクルの起点に 」で，下記のような「個人情報保護方針」4要件を紹介したことがある。

a) 事業内容および規模を考慮した適切な個人情報の収集，利用および提供に関すること。
b) 個人情報への不正アクセス，個人情報の紛失，破壊，改ざんおよび漏えいなどの予防ならびに是正に関すること。
c) 個人情報に関する法令およびそのほかの規範を遵守すること。
d) コンプライアンス・プログラムの継続的改善に関すること。

　これが，JISQ15001:2006改定試案では，下記6項目に変わっている。

a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること（特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，"目的外利用"という。）を行わないこと及びそのための措置を講じることを含む。）。
b) 個人情報への不正アクセス，個人情報の漏えい，滅失又はき損の防止並びに是正に関すること。
c) 苦情対応に関すること。
d) 個人情報の取扱いに関する法令，国が定める指針及びその他の規範を遵守すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名

　一部字句が変更された項目もあれば，新たに加わった項目もある。個人情報保護基本方針も時代の変化とともに変わっていくものなのだ。

　基本ポリシーの変更は，個人情報管理をつかさどる情報システムの要求仕様にも当然影響を及ぼすから，厄介だ。最初から完璧性を求めると仕様変更に対応できなくなるし，急場しのぎのシステム更新では運用管理が面倒になる。個人情報保護対策には，「事後チェック型」ポリシーと「事前規制型」システムのバランス問題がつきまとうことを覚えておこう。

　次回も，引き続きこのテーマについて考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/