前々回の検索エンジンに続いて,前回はSNS(ソーシャル・ネットワーキング・サービス)を取り上げた。日本では,検索エンジン,SNSとも成長の軸足をモバイル・インターネットに移しつつある。そうなると,第130回で触れた「ケータイフィルタリング問題」が関わってくる。

 総務省の「インターネット上の違法・有害情報への対応に関する検討会」では,検索ポータルサイトやSNS事業者のケータイフィルタリングに対する具体的取組に関する資料も公開されている。「Web 2.0」に関心のある個人情報管理者には,ぜひ確認しておくことをお勧めする。

 さて,2005年4月に本格施行された個人情報保護法は早くも4年目に突入した。この間,国民生活や社会の様々な分野に影響を及ぼしてきている。今回は,本格施行当初と現在の状況を比較しながら,個人情報対策の課題を考察してみたい。

相変わらず発生するファイル交換ソフトを介した情報流出

 2008年3月28日,横浜市病院経営局は,自宅パソコンからファイル交換ソフトを介して患者の個人情報を流出させた職員に対し,地方公務員法に基づく懲戒処分を行ったことを発表した(「職員の懲戒処分について」参照)。2007年9月25日,外部からの連絡を受けて市職員情報や業務関連資料がインターネット上に流出していることが発覚(「横浜市病院経営局職員個人パソコンからの情報流出について」参照)。その後の調査で,流出情報に患者の個人情報3733人分が含まれていたことが判明したというものだ(「横浜市病院経営局職員個人パソコンからの情報流出に関する調査結果について」参照)。

 横浜市といえば,2005年当時,第17回で触れたように,旧衛生局港湾病院を退職した医師から年賀葉書が届いたという外部の情報提供を受けて,個人情報の不正利用が発覚したことがある。この医師は,窃盗と市個人情報保護条例違反の疑いで神奈川県警加賀町署により書類送検された。

 「民」の分野で,個人情報取扱事業者に対し,個人情報保護法上の罰則が直接適用されたケースはない。だが,「官」の分野では,情報流出が個人情報保護法制上の刑事事件に発展するケースが既に起きていたのだ。

 ちなみに,全国の警察や裁判所,旧防衛庁など,機密情報を扱う公的機関で相次ぎ個人情報漏えいが発覚し,当時の官房長官がファイル交換ソフトを使わないよう呼びかけたのは2006年2月だった。今やファイル交換ソフトの利用にリスクが潜んでいること,そして公務員に守秘義務が課せられていることは,国民にも周知の事実だが,類似事件は相変わらず起きている。過去の失敗経験を生かす仕組みを構築できていないのが「官」の現実のようだ。

開示情報から次世代の個人情報保護対策を考えよう

 金融,情報通信と並び,医療は個人情報保護対策の三大重点分野だ。しかし,二次被害・類似事故防止を目的とした事故発覚後の情報開示状況を見ると,インターネットによる情報発信などIT利活用で後れをとっている。その点,横浜市病院経営局は情報開示に積極的である。例えば,同局の記者発表ページを見ると,個人情報が関係するトピックとして以下のようなものがある。

 いずれもヒューマンエラーに起因する事例だが,他の病院でいつ起きても不思議でないものばかりだ。さらに医療では,個人情報が医療安全に深く関わるケースが多い点に注意する必要がある。情報漏えい対策というと,入退室管理やアクセス制御に目がいきがちだが,人材不足が深刻な医療現場では,うっかりミスの防止や業務効率化支援を目的としたIT利活用が重要になっている。横浜市病院経営局の開示情報を見ると,業務プロセス改革まで踏み込んだ個人情報保護対策へのニーズが浮かび上がってくる。

 次回は,外部委託先管理の視点から考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/