〔43〕プライバシーマークの前に人的対策に着手しよう

ITpro

2006.05.25

　前回の「個人情報漏えい事件を斬る（42）：プライバシーマークへの「絶対保証」という誤解 」では，個人情報保護規格のJIS（日本工業規格）Q15001及びこの規格に準拠した第三者認証制度であるプライバシーマークの動向を取り上げた。個人情報保護JISやプライバシーマークに対して「過剰反応」と思われるくらい敏感な企業がある一方，具体的に何をすればいいのか暗中模索状態の企業も相変わらず多い。

　今回は「認識不足」状態からの脱却を図る企業の視点から考えてみたい。

個人情報保護対策の実施率上位は基本的な人的対策

　2006年5月19日，総務省は「平成17年「通信利用動向調査」の結果 」を公表した。調査対象は常用雇用者規模100人以上の企業で，全ての中堅・中小企業をカバーしたものではないが，個人情報保護対策について興味深い結果が出ているので，紹介しておきたい。

　調査対象の情報通信ネットワーク利用企業のうち，何らかの個人情報保護対策を実施しているところは，2004年末から16.7ポイント増加して73.2%となり，企業の個人情報保護の取組が一層進展したとしている。ただし，大企業ほど実施率が高く，従業者規模が小さくなるほど低くなる傾向が顕著になっている。

　個人情報保護対策の具体的な内容（複数回答）について，実施率の順位は以下の通りだ。

1．「社内教育の充実」（45.7%）
2．「個人情報保護管理責任者の設置」（41.4%）
3．「プライバシーポリシーの策定」（29.7%）
4．「必要な個人情報の絞り込み」（27.8%）
5．「システムや体制の再構築」（20.0%）
6．「外注先の選定要件の強化」（7.0%）
7．「プライバシーマークの取得」（5.8%）

　上位に挙がっているのは，いずれも基本的な人的対策で，その後に物理的・技術的対策，外部委託先対策，そしてプライバシーマーク取得が続いている。この調査結果の順序は，企業における個人情報保護対策の進むべき道筋を示していると言えるのではないだろうか。

　以前，「個人情報漏えい事件を斬る(12)：みちのく銀行は氷山の一角だった----金融業界の実態 」で紹介した，金融庁の「金融機関における個人情報管理態勢に係る一斉点検の結果等について 」でも，個人情報紛失が発覚した企業の再発防止策（予定含む）について，「役職員への指導・啓発」（75.3%），「業務フローの見直し」（67.2%），「問合せ窓口の設置」（65.9%），「顧客への通知」（22.3%），「セキュリティ対策の再構築」（20.6%）と，人的対策が上位に挙げられていた。

　総務省の調査結果も，金融庁の点検結果も，個人情報保護対策で最優先すべきものが人的対策の整備であることを示している。

人的対策指針に個人情報保護JISを活用しよう

　2006年5月20日，JIS Q 15001：1999（個人情報保護に関するコンプライアンス・プログラムの要求事項）は，JIS Q 15001：2006（個人情報保護マネジメントシステム−要求事項）として改正された（経済産業省ホームページ「個人情報保護 」参照）。個人情報保護JISの改正に伴い，財団法人日本情報処理開発協会プライバシーマーク事務局 や指定機関などが，順次説明会を開催していくことになるだろう。

　プライバシーマークの事務局では，JIS Q 15001：2006の制定日から6ヵ月間を新JISに対応するための整備の期間（経過措置期間），経過措置期間後から2年間（付与認定の有効期限までの期間に相当）を新JISへの移行措置期間としている。経過措置期間中は新旧JISのいずれの規格を適用するかを選択して，プライバシーマークを新規及び更新申請できることになっている。

　プライバシーマークの新規取得を考えていない企業でも，新JISの内容は参考になる点が多い。新JISの中身は，人的対策に関わる項目が大半である。改正審議時の状況については，「日本工業標準調査会適合性評価部会　第11回管理システム規格専門委員会（書面審議）配付資料 」の「2　JIS　Q15001　個人情報保護マネジメントシステム-要求事項（案） 」に掲載されている。

　これから個人情報保護方針を策定する企業は，前回紹介した新JISにおける「個人情報保護方針」の6項目をベースにするとよい。また，個人情報の第三者提供，委託先の監督など，個人情報保護法施行後問題化したテーマも改正点に含まれている。

　次回は，新JIS制定の前日（5月19日）に大阪地方裁判所から賠償命令が出された，「Yahoo! BB」の顧客情報流出事件について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/