前回まで,個人情報に関連する国内の消費者保護法制の新設/改正を取り上げてきた。所管省庁の枠を越えた個人情報保護ガイドラインの共通化に向けた検討作業も始まっている。さらに,プライバシー/個人情報保護対策が,「日米規制改革及び競争政策イニシアティブ・7年目の報告書」で取り上げられるなど,国境を越えた政策課題としても認識されており,今後の動向が注目される。
さて今回は,個人情報ライフサイクル管理の観点から,最近の個人情報流出事件を取り上げてみたい。
廃棄パソコン無断転売が原因だったバイオ研究所の情報流出
2008年6月6日,岩手県は県生物工学研究所がリース契約し,今年3月末で契約が満了したパソコンの一部について,本体内部に記録された情報が消去されないまま,インターネットオークションを介して転売されていたことを発表した(「リース期間満了により返却したパソコンの転売による情報流出の懸念について」参照)。6月4日,同研究所が盛岡市内の企業からの連絡を受けて発覚したものである。この企業はインターネットオークションでパソコン2台を購入したが,その内部記憶装置に岩手県生物工学研究所が作成したと見られるデータが残されたままとなっていた。新聞報道によると,パソコンにはシンポジウム出席者や共同研究者約340人分の個人情報のほか,出願済特許63件など知的財産に関する情報が記録されていたという。
バイオテクノロジー研究施設や備品を管理する岩手県生物工学研究所は,パソコン57台について,地域SI(システム・インテグレータ)企業のアイシーエスとリース契約(2003年度より5年間)を締結。県出資の財団法人岩手生物工学研究センターが,これらのパソコンを研究で使用していた。その後,2008年3月にリース契約の期間満了を迎え,県生物工学研究所は3月26日,パソコン57台をアイシーエスに返却した。
新聞報道によると,アイシーエスは,記録媒体の粉砕を契約条件として,廃棄物処理業者の仙台事業所にパソコンの回収を委託した。廃棄物処理業者の仙台事業所は4月3日に廃棄を終えたとアイシーエスに報告していたが,実際には,同事業所を3月末で退職したアルバイト社員が無断でパソコン25台を持ち出し,インターネットオークションで転売していたという。盛岡市内の企業が購入したパソコン2台は,無断転売されたパソコン25台の一部だった。
契約上,データの消去義務があるのは,岩手県とアイシーエスであるが,結果的に両者とも怠っていたことになる。6月25日,県生物工学研究所は,オークションで転売されていた2台を含む57台すべてのデータを最終的に消去したことを確認,個人情報と知的財産情報の流出がなかったことを報告している(「リース期間満了により返却したパソコンの転売による情報流出事案の発生について」参照)。
廃棄プロセスで情報漏えいが発覚したケースとしては,第88回に大阪府岸和田市の事務所で廃棄予定のパソコンが盗難に遭い,消去されずに残っていた火葬関係情報の一部がインターネット上に流出した事故を取り上げたことがある。IT機器を利用している事業所なら,同じような事故が起きても不思議でない。
廃棄プロセスの情報漏えい防止策をIT資産管理に組み込もう
ところで,情報流出を受けたアイシーエスは,以下のような再発防止対策を打ち出している(「リースアップパソコンからの情報流出の可能性について(第3報)」)。
- データ消去の確認徹底:賃貸借満了によるパソコン等の返却時は,顧客側でデータ消去が確実に実施されているかの確認を,機器台帳により徹底する。
- 搬送のトレーサビリティ確保:リース会社に返却するための搬送には,セキュリティ便等を利用して伝票によるトレーサビリティを確保する。
- 廃棄処理の管理強化:廃棄物となる情報機器は,廃棄処理業者への引渡し前に記録装置の物理的な破壊を行うとともに,廃棄処理業者の選定基準を厳格化し,さらに定期的に調査を実施して,適正な処理がなされるよう管理を強化する。
アイシーエスが挙げた再発防止対策は,パソコンを利用する個人情報取扱事業者にとって,個人情報ライフサイクル管理の廃棄プロセスにおけるチェック項目として応用できる。リースにせよ買い取りにせよ,企業がパソコンを使用する際には,OS/アプリケーションソフトウエアのライセンス,サポートなどを含めた一元的なIT資産管理が求められる時代になっている。
米国では,IT資産管理ツールに加えて,情報の取得/生成から廃棄に至るまでの情報ライフサイクル管理プロセスに必要な機能を提供する物理的記録/保管サービスが発達しており,日本でも同様のサービスが徐々に広まりつつある。パソコンの新規導入/買い換え時には,廃棄プロセスの情報漏えい防止策などもIT資産管理に組み込みながら,個人情報ライフサイクル管理のPDCAサイクルを回して行きたいものだ。
次回は,個人情報の取得/収集プロセスで起きた個人情報流出事件を取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
