個人情報保護法本格施行から約5カ月。多くの企業が昨年から、規約の策定や社員教育の強化、情報システムの見直しなどの保護法対策に取り組んできた。企業の個人情報管理はより徹底されているはずである。しかし、4月1日以降も多くの情報漏洩事件が毎日のように報道されている。
そこに見え隠れするのは、「まさか自分が個人情報を漏らすことはないだろう」という油断だ。読者の中にも、そう思われている方は少なくないだろう。
筆者は8月上旬、情報漏洩に関する特集記事を執筆するため、4月1日以降に起きた情報漏洩・紛失事件を洗い出した。するとその数は、報道されているだけでも250件を超えた。この件数には、金融庁の指示による一斉点検で判明した、銀行や信用金庫など287金融機関の顧客情報紛失は含めていない。判明したのは6月末以降だが、実際に紛失したのは数年前のことだと考えられるからだ。
個人情報保護法が本格施行されたからといって、4月1日以降は情報漏洩事件が激減する、とは考えていなかった。しかし、これほどの数の事件が報告されるとは予想していなかった。保護法によって、個人情報が漏洩・紛失した場合は監督省庁への届け出が求められているので4月1日以前よりも事件が公になりやすくなった、という背景はある。それでも、単純計算で1日に約2件の漏洩・紛失事件が起きているというのは、驚きである。
未対策の企業だけが事件を起こしているわけではない。「個人情報管理のための業務ルールの順守や教育を徹底していたつもりだった」という企業は少なくない。実際、インテグレータやコンサルティング企業といった個人情報保護法に精通し、対策についてアドバイスする立場の企業も、相次いで顧客情報を漏洩・紛失する事件を起こしている。つまり、個人情報保護の観点からはよくないとはわかっていても、つい個人情報を外部に持ち出してしまったり、管理が甘くなったりするケースが少なくないのである。
十分に対策しているように思えても、事件は起きる。顧客情報を記録した携帯電話をひったくりに遭って盗まれたケース、社内に賊が侵入してパソコンごと顧客情報を盗まれたケース、顧客情報を記載した伝票が突風で吹き飛んでしまったケースなどがそうだ。パスワード認証や生体認証など複数の認証を組み合わせて個人情報の管理を徹底していた企業でも、正規ユーザーによって顧客情報が盗まれる事件が発生している。
個人情報を暗号化するなどして悪用を防ぐ手だてを講じていたとしても、批判を浴びる点ではあまり変わらない。データを復号される可能性がまったくないとは言い切れないからだ。顧客情報を盗まれたある企業の担当者は、「悪用される恐れはほとんどないのに、漏洩件数が多いために批判される」と不満の声を上げる。
対策の難しさに、多くの企業が苦しんでいる。どれだけ個人情報保護に努め、ルール作りやシステム面の対策を講じても、情報が漏れたり紛失したりする危険性がなくなることはない。
しかしまずは、「自分が紛失することはない」、「まさか盗まれはしないだろう」という甘い意識を持たないようにする施策が必要ではないだろうか。このような油断を払拭しない限り、どんな対策も機能しない。
