前回は,メタボリックシンドロームなどで脚光を浴びる健康医療分野の個人情報保護対策を取り上げた。健康医療の個人情報は,ゆりかごから墓場まで人間の一生にまつわるものであり,情報管理ライフサイクルが長期にわたることが多い。
今回は情報管理をライフサイクルの観点から考えてみたい。
財政難理由に行政・教育機関で続く私物パソコンの利用
大阪府岸和田市は2007年4月11日,市立斎場における2001年4月~2004年6月の間の火葬関係情報の一部がインターネット上に流出する事故が発生したことを発表した(「斎場利用情報の流失事故について」参照)。同市の職員が,稼働しなくなったパソコン1台を廃棄するため,ダンボール箱に入れて,2006年1月ごろから斎場事務所裏に置いていた。これが盗難に遭い,そのパソコン内に業務日報等のデータが消去されずに残っていたため,流出したと見られている。流出した情報には,火葬者と申請者の氏名,住所等の情報約1万人分が含まれていたという。また,新聞報道によると,流出元となったパソコンは職員の私物で,上司の許可を得て使用していたものだという。
死者の情報は個人情報保護法の対象外となっているが,流出した情報には遺族の個人情報も含まれている。また,岸和田市の条例では,「実施機関の職員又は職員であった者は,職務上知り得た個人情報を正当な理由なく他人に知らせ,又は不当な目的に使用してはならない」と守秘義務を規定している(「岸和田市個人情報保護条例」参照)。私物パソコンの盗難による個人情報流出であったとしても,職員個人の責任は免れない。
パソコンの盗難・紛失による個人情報流出が相次ぐ中,機器の調達から,設定,データ消去,運用管理,廃棄に至るまでのPCライフサイクル管理を行う企業は増えている。しかしながら,一連のファイル交換ソフトによる情報流出騒動の後も,一部の行政機関や教育機関では,財政難などの理由から私物パソコンが利用され続けているのが実態だ。私物だからといってPCライフサイクル管理を職員個人の自己責任に委ねていたら,岸和田市と同じようなリスクがいつ表面化しても不思議でない。
少子高齢社会でクローズアップされる小規模事業者の個人情報管理
ところで,死者の情報は個人情報保護法の対象外だが,所管省庁によっては,死者の情報についても,生存する個人の情報に準じた取り扱いをガイドラインで求めている分野がある。例えば,「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」では,死亡した患者の個人情報を保存している場合には,生存する個人の情報と同等の安全管理措置を講じるよう規定している。また,取り扱う個人情報の数が5000件以下の小規模事業者に対しても,ガイドラインを遵守する努力を求める旨規定している(「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」参照)。
金融・信用や電気通信の分野と比較して,医療・介護や福祉の分野では,情報管理ライフサイクルの長い,センシティブな個人情報を取り扱う割に,小規模事業者の比率が高いのが特徴だ。医療・介護や福祉は,少子高齢社会でますます重要になる分野だが,地域に密着した労働集約的な業務が中心で,IT投資に回せる予算にも限度がある。といって,個人情報がいったん漏えいしたら,悪用されて二次被害が発生する可能性が高い。このような分野だからこそ,PCライフサイクル管理は重要であり,どの地域でも適用できる官民協働型モデルが求められる。高速インターネット回線を引くだけが,地域IT基盤の整備ではないはずだ。
次回は,雇用分野の個人情報漏えい事件を取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
