2006/10/06
ITpro

連載目次へ >>

　前回は，「究極の個人情報」と言われる遺伝子情報をめぐる事例を取り上げ，個人情報保護対策の要としてPDCAサイクルのP（計画）が重要視されつつある状況を考えてみた。今回は，個人情報保護法の改正論議に深く関わる，個人情報保護法の検討課題について触れてみたい。このテーマについては，「第28回：「個人情報漏洩罪」の新設で，従業者の不注意は防げるか？」も参照いただければ幸いである。

保護法フォローアップを目的とする検討課題が公表

　2006年9月21日，内閣府の国民生活審議会個人情報保護部会は「個人情報保護に関する主な検討課題」を公表した。これは，2004年4月2日の閣議決定「個人情報の保護に関する基本方針」を受けて，個人情報保護法施行3年後を目安にフォローアップを行う目的で国民生活審議会がまとめたものだ。9月25日から10月27日までの間，一般からの意見を募集している。

　その中で，企業の個人情報管理に関係の深い「適正・安全な管理について」を見ると，以下のような項目が指摘されている。

1. 安全管理措置の水準について
2. 安全管理と労務管理について
3. 委託先の監督について
4. 事業者の保有する市販の名簿の管理について

　ところで，個人情報の取扱いに関する規制としては個人情報保護法のほか，各種業法上の規制がある。例えば銀行業界の場合，金融庁が所管する銀行法施行規則では，個人顧客情報の安全管理措置について「銀行は，その取り扱う個人である顧客に関する情報の安全管理，従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について，当該情報の漏えい，滅失又はき損の防止を図るために必要かつ適切な措置を講じなければならない」（第13条の6の5）と規定している。また，同じ銀行でも，従業員の雇用管理に関する個人情報の安全管理措置については，労働法制を所管する厚生労働省が基準を策定している（「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」参照）。

　安全管理措置をどのレベルまで実施すべきかは企業共通の悩みだが，個人情報保護法よりも個別の業法の影響度が大きい業種も存在する。個人情報保護のために必要な労務管理や委託先の監督についても，従業者の雇用形態や委託先との契約形態によってルールが異なるケースが多い。個人情報保護法の検討課題を見ていくと，企業を取り巻くその他の法務リスクも浮かび上がってくる。

個人情報保護の課題解決のためにICTができることは？

　一方，個人情報保護対策として様々なICT（情報通信技術）が導入・利用されてきた。しかし，個人情報保護の検討課題を見ていくと，ICT導入の効果が表に出ているとは言い難い。例えば，プライバシーマーク，ISMSなどのマネジメントシステム規格の活用が指摘されているが，情報セキュリティの国際標準ISO/IEC15408などの技術規格やICTの利活用事例に関する記述は見当たらない。人的・組織的対策が重要なのは事実だが，それを支えるICTインフラの全体的・標準的な枠組みや利活用方法に関する議論が抜けているのは気になる。

　「第56回：個人情報保護から始める内部統制の勧め」で紹介したアイデンティティ／アクセス管理ツールのように，裏方で地道に利用されてきた技術が，個人情報保護のみならずコンプライアンス（法令順守）活動を支える共通のICT基盤として脚光を浴びるケースが増えている。海外では「コンプライアンス・インフラストラクチャ」と称される領域であり，最近はその基盤上で「ガバナンス／リスク／コンプライアンス（GRC）管理」のようなアプリケーション技術の導入が進んでいる。このような枠組みは，技術的視点とマネジメント的視点の融合なくして実現し得なかったものだ。

　マネジメント志向の時代だからこそ，情報システムの視点から多種多様な技術を再整理して，個人情報保護の問題解決につなげる努力が必要ではなかろうか。ICTの未開拓分野は日本にもまだまだ残されている。

　次回は，同時期に総務省から公表された，行政機関・独立行政法人向けの個人情報保護法の施行状況調査について触れてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/