6月26日,大手コンビニエンス・ストア「ローソン」の顧客データが外部に流出する事件が明るみになった。この数年前から,企業や自治体などから情報の漏洩が頻繁に発生している。特に個人情報の漏洩は,企業のイメージ・ダウンだけにとどまらない。訴訟問題に発展すれば大きな経営リスクになる。

 この5月23日に成立した個人情報保護法は早ければ来年にも施行されるだろうが,そうなれば個人情報のより厳密な取り扱いが求められることになる。企業や自治体の情報セキュリティ対策はどうなっているのだろうか。

経営責任にも発展しかねない

 「情報が漏洩したとしても,企業経営にどんな影響が出るのだろう。ローソンはBtoC(企業対消費者)だが,我々はBtoB(企業間)の取引なので・・・」。ある製造業のシステム担当者は情報セキュリティの重要性は認識しつつ,その対策をどこまですればいいのか悩んでいる。

 投資というよりも,コストの意味合いが強い情報セキュリティ絡みの問題は,経営者の理解を得ることがなかなか難しい。しかも営業や開発などの現場は「ファイアウオールの導入などは情報システム部門に任せた。『あとはよろしく』という感覚になっている」という。経営者やユーザー部門は,セキュリティ対策をシステム上の技術的な問題としてとらえているからだろう。

 そうなのだろうか。社内にある機密情報が外部に漏れれば,その被害は計り知れない。それだけに,様々な情報の価値をきちんと分類し,それに従っていかにその情報を守るべきかという課題を解決する必要がある。もちろん技術的に解決できることもあるが,それ以上に重要なのが社員教育である。パスワード一つとっても,どれにアクセスするにも同じパスワードを使っているようなら危険な状態にあるといえる。冒頭にあげたローソンなどの例にみるように,従業員の機密情報や個人情報の取り扱い方に問題を抱えている企業は決して少なくはないだろう。

 この7月17日に発行する「情報セキュリティと個人情報保護 完全対策」(日経BP社)の筆者である山崎文明氏(グローバルセキュリティエキスパート代表取締役)は「BtoBであっても企業機密はたくさんあるはず。例えば仕入先など取引先の情報,製造原価などの価格情報などが漏洩したらどう対処するのか」と問題を指摘する。経営責任が問われることすらあり得る。

 先のローソンの場合は,約56万人の会員カードの個人情報が外部に漏洩しており,ローソンはそれら会員にお詫び状と500円分の商品券を送ると報じられている(6月27日付け日本経済新聞)。これだけでも数億円の費用が発生するだろうが,もし56万人が集団訴訟に踏み切り,仮に損害賠償が1人当たり1万円になるとすれば,総額は一気に56億円に膨れ上がる。欧米では,弁護士がインターネットを利用して成功報酬を条件に訴訟を勧誘することもある。日本でも,すでにそうした集団訴訟の実例が出てきている(関連記事)株主から訴訟を起こされる可能性も否定できない。

「セキュリティは文化である」

 個人情報を取り扱うリスクは拡大する一方である。外部委託先から漏洩しても,そのことから逃れることはできないし,責任を問われる。個人情報の保護に関するコンプライアンス(法令順守)のためにしなければならないことはたくさんある。

 まずはプライバシー・ポリシーの策定と公示である。収集する個人情報の利用目的を明確にする。第三者への提供する場合は,情報提供者から同意をとっておくことは当然である。グループ企業内でも,必要となる。ある金融機関が国際キャッシュカード申込者の一部のデータを旅行代理店グループに提供したという事件も今年発覚している。

 既に,役員への「個人情報保護法」勉強会を開催して,役員に経営者の素養として個人情報保護に関する法律知識を植え付けようとしている企業は出てきている。「『できること』『しなければならないこと』の筆頭は役員自ら個人情報保護法を学習することだ。そして担当者の『できること』はそのような機会を提案すること」(山崎氏)。
 
 「セキュリティは文化である」。OECD(経済協力開発機構)が2002年7月に採択した「情報セキュリティおよびネットワークのセキュリティのためのガイドライン セキュリティ文化の普及に向けて」の中に盛り込まれているもので,世界各国に情報セキュリティの重要性を認識させる狙いがある。個人情報を重要な資産としてとらえ,顧客の満足度向上に結びつけることができるか。あるいはずさんな管理で,顧客からの信用を失ってしまうのか。その違いこそが文化だろう。

(田中 克己=コンピュータ局コンテンツ開発)