前回の「ガスの保安対策に見るリスク管理の課題」では,筆者が実際に遭遇した製品リコール関連の事例を取り上げた。規制緩和時代を迎えたガス業界は,オール電化を推進する電力業界と熾烈な競争を繰り広げている。「安全・安心」は,保安部門のみならずマーケティング・営業部門にとっても最重要課題だ。リスク管理と企業価値向上の両面で,顧客情報の利用と管理が問われている。

私物パソコンとファイル交換ソフトを介して流出した遺伝子情報

 今回は「究極の個人情報」と言われる遺伝子情報をめぐる事例について考えてみたい。

 2006年9月13日,NTTデータは,社外との複数の共同研究プロジェクトにおける関係者の個人情報および業務関連情報が,同社社員の自宅パソコンからインターネット上のファイル交換ソフト「Winny」ネットワーク上へ流出していたことを公表した(「「Winny」による個人情報および業務関連情報の流出について」参照)。同日,NTTデータと共同研究を行っている独立行政法人理化学研究所も,情報流出の事実を公表した(「NTTデータによる情報の流出について」参照)。

 理化学研究所遺伝子多型研究センターによると,流出した情報は合計111ファイルで,内訳は以下の通りである。

(1) 個人情報 11ファイル
---14名分の共同研究者の自宅住所,自宅電話番号等
(2) 業務情報 100ファイル
---開発中のプログラムおよびそのシステム構成に関する情報,患者144名分の疾患関連SNP(Single Nucleotide Polymorphism(s)(一塩基多型))集計データ,特定集団のSNP相関解析データ

 今回の情報流出で話題となったのは「個人情報」よりも,「業務情報」に含まれていた特定の疾患を持つ患者144名分の遺伝子情報だった。理化学研究所のプレスリリースによると,個人を特定する情報と遺伝子情報がつながることがないよう匿名化し,直接個人を特定できない仕組みになっていたという。

 文部科学省,厚生労働省,経済産業省が定めた「ヒトゲノム・遺伝子解析研究に関する倫理指針」では,「個人情報を連結不可能匿名化した情報は,個人情報に該当しない。個人情報を連結可能匿名化した情報は,研究を行う機関において,当該個人情報に係る個人と当該情報とを連結し得るよう新たに付された符号又は番号等の対応表を保有していない場合は,個人情報に該当しない」と規定しており,今回流出した遺伝子情報は「個人情報」に該当しないことになる。

 だが,遺伝子情報がセンシティブな情報であることには変わりない。個人情報保護法の適用が除外される医療分野の学術・研究でも,患者や家族の協力を得るのに膨大な時間と労力を要する事態が続く中,今回のような情報流出がもたらす影響は大きい。

PDCAサイクルのP(計画)が個人情報保護対策の要に

 理化学研究所は,NTTデータと共同研究契約を締結しており,情報流出を起こした社員は2003年10月から2006年3月まで,遺伝子多型研究センターとの共同研究に従事し,遺伝子多型研究センターにほぼ常駐する形式で勤務していた。

 2005年秋から2006年3月にかけて,自宅で作業をするために業務関連ファイルをUSBメモリ(外部記録媒体)を用いて持ち出し,ファイル交換ソフト「Winny」がインストールされた私物パソコンに保存して業務を行っていた。そのパソコンが「Winny」を標的にしたコンピュータウイルスに感染し,ネット上に流出したのである。

 本連載の「小さなUSBメモリの大きなリスクに翻弄されたNTTデータ」で取り上げたが,NTTデータでは2005年4月,社員の自宅に空き巣が入り,顧客情報2146件を保存したノートパソコンを盗まれるという事件が発生した(「お客様情報の入ったノートパソコンの盗難について」参照)。同年5月には,社員1万1835人分の個人情報ファイルを記録したUSBメモリを入れたかばんを,同社社員が紛失するという事態が起きている(「当社社員情報の紛失について」参照)。

 さらに,本連載の「NTTデータ偽造カード事件で懸念される規制強化」で触れたように,NTTデータが仙台銀行から運用を受託したコンピュータ・システムの運用責任者を務めていた協力会社の要員(NTTデータの元社員でもある)が,不正に持ち出した取引記録の個人情報からローンカードを偽造し,現金を引き出すという事件も発覚している(「ローンカードの取引記録の不正取得について」参照)。

 USBメモリ,自宅のパソコン,社外の現場…,過去にNTTデータで起きた個人情報流出事案で露呈した問題が,今回の事案にも見え隠れしている。人命を左右する医療安全分野では,悪い結果が出てから対応するのでは手遅れであり,よい結果を導くための施策をPDCAサイクルのP(計画)の段階から検討し,現場の業務プロセスに落とし込むという考え方が基本になっている。これは個人情報管理にも当てはまるのではなかろうか。同じ失敗の繰り返しでは意味がない。

 次回は,国民生活審議会個人情報保護部会の「個人情報保護に関する主な検討課題」を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/