「ITでは個人情報は保護できない。重要なのは社員教育だ」――日経システム構築9月号の特集「個人情報を守る」の取材活動を通じて,何度となく聞かされた言葉である。

 教育の重要性は否定しない。しかし,冒頭のような言葉を発する企業の教育内容を聞いてみると,配属すら決まっていない入社時点にビデオ教材を見て終わりだったり,昇進時の研修の中で外部講師の話を聞いて終わりだったりする。とても教育だけで個人情報を守ることができる,とは言えないと感じた。

 そもそも,企業は学校ではないため,教育だけに注力できない。にもかかわらず,個人情報を保護する=個人情報の漏えいをしない=情報漏えいは内部犯行が多い=社員教育でモラルを高めれば情報漏えいしない,という図式のもと,社員教育への期待が膨らんでいた。

個人情報の安全管理が義務付け

 5月に成立した個人情報保護に関する法律は,文字通り受け止めれば個人に関する情報を保護するための法律だが,中身はそんなに単純なものではない。何をしたら(しなかったら)法律違反になるとは誰も言えないからだ。最終的に法律違反かどうかを決めるのは「データの流出などが発生した後,裁判官が決めるしかない」(牧野法律事務所 牧野二郎弁護士)。

 その一方で,企業などの「個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない(第20条)」と義務付けられている。

 今や多くの個人情報がデータの形で企業内に存在している。何もしていないと,個人情報を預かる立場にある企業も情報流出に気付くことさえできない。いったんデータ流出が判明した際,データに対する管理者権限を持つ企業のIT部門の人々は,まず犯人ではないかと疑われてしまう危険がある。それでは何をどうやって個人情報を守れば良いのか――その思いからスタートした企画であった。

社員の心が情報漏えいのカギを握る

 「個人情報を保護する=個人情報の漏えいをしない=情報漏えいは内部犯行が多い=社員教育でモラルを高めれば情報漏えいしない」という図式自体は,決して間違いではない。社員にいかに“出来心”を起こさせないようにするかが情報漏えい対策のポイントだからだ。それにはもちろん教育も不可欠であるが,それだけでは足りない。既存の仕組みに対して,ちょっと見方を変えることで,社員の“出来心を封じるシステム”にする,という観点も重要である。

 出来心を防ぐ基本は,アクセス制御である。特に,複数のアクセス制御は有効である。例えば,個人情報を収めたデータベース・サーバーには,ID/パスワードによるアクセス制御を施すだけではなく,特定のIPアドレスのマシンからしかアクセスできないようにする。こうしておけば,正当な権限を持たない人のアクセスを防げる。

 問題は情報にアクセスする正当な権限を持つ人の出来心である。この課題に関しては,3つの観点からの対策ができる。1つ目は,監視などによって,重要な情報へのアクセスが周囲の人にも分かるようにしておくことだ。抑止力になるだけでなく,何かの事故が起こったときに,身の潔白を示す証拠にもなりうる。監視のために,ネットワークを流れるすべてのデータを記録する専用製品もいくつか登場している(関連記事)。

 2つ目は情報にアクセスできる“権限の重さを認知させる”ことである。通常は詳細な個人データを見ることができないようにしておき,業務上,どうしても見なければならなくなった時点でアクセス権を与えるようにする。あらかじめ権限を与えていつでも閲覧可能にするよりも責任感を意識させやすくなる。

 3つ目は,個人を特定できない“非個人”データにすること。個人情報は名簿業者が買い取る場合が多い。名簿業者にとって価値が高いほど,高値で換金される。社員が業務で接するデータを,名簿業者にとって価値の低いデータにしておけば,売ろうとしてもその価値は低くなる。例えば,マーケティング部門が顧客の年齢や性別ごとの動向を探りたい場合,名前や住所は含めずに,IDと年代,性別だけを取り出したデータベースを作る方法がある。

 もちろん,システムの工夫だけで情報漏えいを100%防ぐことはできない。抜け道はいくらでも存在する。しかし,社員のモラルに頼るだけでは情報漏えいを防げない現状では,システムでも防ぐ工夫が必要だ。

 言うのは容易だが,実践するのは容易ではない。上記を実践するには,システムの変更や新しい機器の導入などが必要となる。実際に対応するのは,IT部門の担当者となるだろう。ただでさえ多い通常業務に,新たな仕事が加わることになる。

 仕事が増えるばかりではない。アクセス制御に手を加えた結果,「利便性が低下した」とユーザーから不満が出る可能性もある。監視されることに不満を覚えるユーザーもいるだろう。IT部門にとっては労苦ばかりが多い。

 しかし,個人情報を取り扱う企業は,今や個人情報保護を避けて通ることはできない。何かあれば,企業の信用は失墜する。情報を適切に保護することは,企業の情報資産を保護するだけではなく,金銭には変えられない信用を保護することでもある。

 IT部門の方は,あらぬ疑いをかけられないためだけではなく,企業の信用を守るために個人情報保護に努める必要がある。社員のモラルに頼りきれない現状では,システム――すなわち,IT部門――で可能な限り守らなければならない。

 責任が重く,しかもユーザーからの不満を直接受ける損な役回りだ。その責任と苦労をIT部門だけに負わせてはならない。経営陣やユーザー部門の方も,個人情報保護の重要性ならびにIT部門の苦労を十分に認識して,IT部門に協力する必要がある。自社の情報漏えいが,新聞に載ってからでは遅いのだ。

(岡本 藍=日経システム構築)