［157］内閣府発表に見る法令順守のハブと紙媒体の個人情報管理

2008.10.08

　前回は，子どもの「安全・安心」の観点から，モバイル向けのフィルタリング・サービスについて取り上げた。第54回で触れたように，フィルタリング・サービスは，消費者／B2C市場の個人情報保護対策ツールだけでなく，法人／B2B市場における情報漏えい対策ツールとして利用されてきた歴史を持っている。

　前回取り上げたiPhone 3Gについては，ソフトバンクグループが法人向け市場の営業強化を積極的に進めている。IBMがiPhone市場向けに，Lotus NotesとDominoのセキュリティ・ソフトウエアを展開する動きもある（「Lotusのセキュリティ・ソフトがiPhone市場へ新展開」参照）。これに対し，KDDIは2008年12月より，法人向けにau携帯電話のフィルタリング・サービスを提供開始することを発表している（「「ビジネスケータイフィルタリングサービス」の提供開始について」参照）。

　法人向けモバイル市場といえば，PDA／スマートフォン，データ通信専用端末など，特定のハードウエアに依存した機能／サービスに注目が集まりがちだ。しかし，個人情報保護対策の観点からは，社内／社外の混在ネット環境を前提とする上位レイヤーの付加価値提供が重要であり，メリットも大きい。Google社のモバイルプラットフォーム「Android」についても，同様の観点から注視すべきだ。

　さて今回は，内閣府が発表した「平成19年度個人情報保護法の施行状況」から，民間事業者の状況を取り上げてみたい。

個人情報を中核に形成される法令遵守のハブ＆スポーク構造

　内閣府の発表によると，平成19年度（2007年4月～2008年3月）において，事業者が公表した個人情報漏えい事案は合計848件（前年度893件）。個人情報保護法に基づく報告の徴収は83件（前年度60件），勧告は0件（前年度4件）となっている。漏えいした個人情報の種類について見ると，ほとんどの事案で顧客情報が含まれている。また，基本情報（氏名，生年月日，性別，住所）のみが漏えいした件数は全体の約15％であり，多くの事案を見ると，電話番号，口座番号，メールアドレス，クレジットカード番号等の付加的情報も含めて漏えいしていることが指摘されている。

　ビジネスで個人情報を有効活用するためには，基本情報と付加的情報の同期が不可欠であり，個人の基本情報を中核として様々な付加的情報をひも付けした「ハブ＆スポーク」のような仕組みを構築するのが一般的だ。ただし，「ハブ＆スポーク」のどこかで情報漏えいが発生すると，他の情報の管理にも影響が及ぶ可能性がある。特に付加的情報が漏えいすると，個人情報保護対策に加えて，迷惑メール対策法，特定商取引法，割賦販売法など，2008年前半に改正案が国会で審議・可決され，罰則強化が予定されている法令へのコンプライアンス対策が関わってくる。

　各法令の改正内容については，第142回，第143回，第144回で取り上げているので参照してほしい。いずれにせよ，法令への個別対応では限界が見えており，経営者がリーダーとなって横断的に対応できる組織体制を考える必要がありそうだ。

業務効率を下げない文書ライフサイクル管理の見直しが必要に

　次に，漏えいした情報の形態についてみると，電子媒体が約4割，紙媒体が約6割を占めている。漏えいした情報に対する暗号化等の情報保護措置を講じていなかった件数は，全体の7割強を占めている。注目すべきは，電子媒体経由の情報漏えいでは，約4割の件数で情報保護措置が取られていたのに対し，紙媒体経由の漏えいでは，9割強の事案で情報保護措置が取られていなかった点だ。

　電子媒体の場合，情報保護措置の普及促進が事前の二次被害防止対策となる。個人情報を基本情報と付加的情報に分けて管理することにより，セキュリティ対策を強化することも可能だ。他方，紙媒体の場合，仕事の利便性を考えたら，基本情報と付加的情報をセットにしてプリンタ出力するのが一般的であり，メールアドレス，クレジットカード番号等，個人情報保護法以外の法令遵守の対象となる情報も併せて，各人の管理に委ねなければならない。しかも，紙媒体の個人情報は企業の様々な業務プロセスで利用されているので，個人情報管理に関わる責任者／スタッフだけでコントロールするには限界がある。

　紙媒体を介した個人情報漏えいの防止対策を推進するためには，文書の電子化，ペーパーレス化などを含めて，企業における文書ライフサイクル管理全体を見直さざるを得ない。文書ライフサイクル管理および業務プロセスの全社最適化の観点から，現場業務の効率を下げない紙媒体の情報漏えい対策を検討することが重要であり，個人情報管理の形骸化防止にもつながる。ITについても，単なる文書管理／印刷管理のツール提供にとどまらず，紙に依存した業務プロセスの改善も支援する複合的なソリューションの開発・提供を推進する必要があるのではないだろうか。

　次回は，地方自治体の個人情報保護推進状況について考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/