システム・エンジニアの矢野氏が勤めるシステム・インテグレータでは,個人情報保護法の全面施行に先駆けて,それに準拠した社内のセキュリティ・ポリシーを整備した。矢野氏の目には,主に営業上の理由から,情報漏洩対策を強化しているように見えた。
そのポリシーの中に,「顧客の個人情報を預かる場合には,事前に申請の上,関係部署の稟議が必要」という項目がある。
しかし,社内手続きが面倒すぎて時間がかかり,ほとんど守られていないのが実態である。特に2005年4月の個人情報保護法が全面施行になる前後では,このポリシー項目は全く守られていない状態だった。
この時期は,駆け込みで個人情報保護法対策を依頼してくるユーザー企業が非常に多かった。個人情報を扱う既存のシステムを改修し,法律の要件を満たせるようにするためだ。
全面施行まであと2~3カ月しかないのに,「4月までに間に合わせてくれ」という無茶な注文も多かった。そのため,どのプロジェクトも「納期が最優先」という状況だった。
矢野氏が問題視しているのは,テスト・フェーズで使用するテスト・データの扱いである。本来なら個人情報を一切含まないダミー・データを用意すべきだが,突貫作業を進めるシステム改修プロジェクトにその余力はない。
ある日,矢野氏がユーザーとの打ち合わせに出かけると,ユーザーから生の個人情報が収められたディスクを渡された。「これを持っていっていいから,とにかく4月までにテストを終わらせてほしい」と釘を刺された。
ここで矢野氏は,「個人情報を預かるには,自社のルールや手続きがいろいろあるため,場合によっては1週間以上待ってもらいたい」と説明した。しかし,ユーザー側は「そんなことはそちらの事情だ。こっちは一刻も早く対策を済ませたいのだ」とディスクを押し付けてくる。矢野氏は,相手の険しい顔に圧倒されてしまい,最後は「何とかします」と言わざるを得なかった。
もちろん,社内の稟議にかけていたら間に合わないので,会社には内緒で個人情報を預かった。これは矢野氏がかかわったプロジェクトだけでなく,会社全体を通じて事情は同じだった。
個人情報保護法対策の需要がピークを過ぎても,ゆっくり時間をかけられるプロジェクトなどない。いつの間にか稟議を通さずに個人情報を預かることが,一部で常態化してしまった。
納期を最優先するユーザーからの圧力と,個人情報を預かる際のセキュリティ・ポリシーの間での板ばさみ。ユーザーの圧力には勝てず,どこからどのような個人情報を預かったのか,事実上管理できなくなってしまったのがこのケースだ。仮にこのシステム・インテグレータで情報漏洩事件が起きれば,個人情報保護法違反を問われるはずだ。
とはいえ,短期開発が当たり前になっている現場で,テスト・データを預かるためだけに1週間以上を要する手続きは,確かに現場の反発を招きやすいと言える。手続きの中に,ムダな承認プロセスがなかったかどうかが一つのポイントになるだろう。
もちろん,預かった個人情報に関する非開示契約などを別途結ぶべき場合もあるので一概に簡素化できるとは言えない。それでも,現場の実態に合わせて,手続きを改善していく必要があったことは明らかである。
矢野氏の会社の場合,ポリシーを整備したまではよかった。だが,ポリシーを改善する努力を怠ったため,現場で有効に作用しなくなっている。そういう現場では,常にリスクと隣り合わせであることを忘れてはならない。
