前回は,大日本印刷に個人情報取扱業務を委託していたジャックスを題材に,顧客情報管理と投資家向け情報開示の関係について取り上げた。この延長線に浮かび上がってくるのが,株主/投資家保護のために“財務報告に係る内部統制と情報開示”を定めた金融商品取引法(日本版SOX法)の存在である。今回は,東京電力を題材に,情報管理の方向性について考えてみたい。

個人情報保護から業務情報一般へと広がったリスク管理対象

 第82回で触れたように,2007年3月7日,東京電力は顧客約47万人分の個人情報を含むマイクロフィルムを紛失したことを発表した(「お客さま情報が記載されたマイクロフィルムの紛失について」参照)。さらに遡(さかのぼ)ると,2006年9月8日には約340件の社内外関係者の個人情報を含む業務資料が,ファイル交換ソフト「Share」を介して流出したことを発表している(「当社社員の個人所有パソコンからの配電設備業務に関する資料の流出について」参照)。

 また,個人情報は含まれていないが,2006年5月18日(「当社社員の個人所有パソコンからの原子力に関する研修資料の流出について」参照)と2007年2月21日(「委託先における原子力関連情報を含むパソコンの盗難被害について」参照)に,業務情報が流出したことを発表している。この2つのケースでは原子力関係情報が流出したことから,原子力安全・保安院の指導を受けている(2006年5月18日「東京電力(株)に対する情報管理の徹底に関する要請文の発出について」,2007年2月21日「原子力関係情報の紛失事案について」,2007年3月9日「原子力関係情報の紛失事案について(第2報)」参照)。

 これらの情報流出事件が東京電力の株主/投資家に対する情報開示にどのような影響を及ぼしているのか,同社Webサイトの「IR資料室」ページを見てみよう。まず第82期(2006年3月期)有価証券報告書を見ると,「事業等のリスク」の「その他のリスクについて」の中に「個人情報保護の管理について」という項目を設けて,以下のように記述している。

当社グループは大量の個人情報を保有している。「個人情報の保護に関する法律」及びガイドライン等の遵守や従業員教育等を通じ個人情報の厳正な管理に留意しているが,個人情報の流出により問題が発生した場合には当社グループの業績及び財政状態は影響を受ける可能性がある。

 これに対して,第83期(2007年3月期)有価証券報告書では,「事業等のリスク」の中に「情報管理」という項目を設け,以下のように記述している。

当社グループは,大量のお客さま情報をはじめ,業務上の重要な情報を保有している。社内規程の整備や従業員教育等を通じ情報の厳格な管理に留意しているが,これらの情報の流出等が発生した場合には,当社グループの情報管理に対する社会的信用が低下し,円滑な業務運営に影響を与える可能性がある。

 2006年3月期時点の有価証券報告書では個人情報保護法という一法令に関わるリスクの記述であったのが,2007年3月時点では,業務情報全般の管理に関わるリスクの記述に変わっている。東京電力の場合,業務に係わる情報管理全般にリスク管理の対象が広がっていることが分かるだろう。また,業務運営に影響を与える要因として社会的信用の低下を例示している点に注目すべきだ。

情報管理の全体最適化にはITの共通基盤が必要

 第15回第31回で取り上げたように,電力業界全体の情報管理に対する不信感が拡がる発端となったのは,ファイル交換ソフトを介した個人情報漏えい事件である。個人情報に加えて原子力発電に関わる機密情報が相次ぎインターネット上に流出したことから,2005年12月,改正原子炉等規制法が施行され,核物質防護情報を流出させた者に対する罰則が強化された。

 その後2006年5月に改正会社法が施行され,電力各社にも内部統制システムの構築が義務付けられた。しかしながら2006年秋以降,電力会社の発電設備における各種データ改ざんが発覚し,2007年7月16日に発生した新潟県中越沖地震では,被災した東京電力柏崎刈羽原子力発電所の情報開示遅延が指摘され,新潟県柏崎市から消防法に基づく緊急使用停止命令が発動されるなど,情報管理の不備に起因する問題が続発している。このような状況下で,2009年3月決算期から金融商品取引法の適用が始まったら,株主/投資家の視線は一層厳しくなるだろう。

 失敗学で知られる工学院大学の畑村洋太郎教授は「局所最適が全体最悪をもたらす」と述べている。東京電力の有価証券報告書を見ると,個人情報保護法,改正原子炉等規制法,改正会社法,消防法,金融商品取引法と,個別法令に合わせた情報管理の局所最適化の積み重ねが通用しなくなった時代背景が浮き彫りになってくる。得てして,内部統制対策が先行している業界や大企業ほど,全体最適化への課題が株主/投資家に「見える化」されるものだ。情報管理の全体最適化を図るためには,下支えするITの共通基盤化が不可避である。

 情報漏えいで失墜した社会的信用の回復には時間がかかるが,株式の売り注文はワンクリックでできる。ITに関わる人間にとっても東京電力の開示情報から学ぶべき点は多いはずだ。

 次回は,個人情報保護の過剰反応問題について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/