「あなたの会社から個人情報が漏れたという噂が流れています。さて,あなたはどうしますか」
 「あなたの所属部門に,架空請求を受けたという顧客から情報漏洩を指摘する連絡がありました。どうしますか」
 「顧客からの問い合わせを受けて確認した結果,個人情報が漏れていたことが確認されました。あなたはどうしますか」

 こんな質問をされたことがあるだろうか。実はこれは,ある企業が社員向けに実施している個人情報保護研修での質問。万が一情報が漏れてしまった場合にどう対処すべきかを社員に認識させるための取り組みである。

 実は最近,「情報漏洩後の対処法」をテーマに記事を執筆した。個人情報漏洩の対策というと,どうしても漏洩対策に目が行きがちだが,それだけでは十分とは言えない。万が一に備えた対策も講じておく必要がある。個人情報は“もう漏れているかもしれない”からだ。

 実際,事件はどれも,情報が漏れてからかなり時間が経過して発覚に至っている。外部からの指摘を受けて発覚するまでの間,情報が漏れたことに気付くことさえなかったのが実情である。もう情報が漏れているとすれば,今から漏洩対策を強化しても手遅れ。そこで重要になるのが事後対策というわけだ。

簡単そうで悩ましい「不要になった個人情報の扱い」

 事後対策というと,マスコミ対策を思い浮かべるかもしれないが,それだけではない。重要なのは,情報漏洩の事実を素早く確認し,顧客の被害を最小限に食い止めるべく迅速に行動すること。そのためには,社内で,だれが,どんな個人情報を管理しているかを事前に把握しておく必要がある。いわゆる棚卸しだ。

 同じ顧客の個人情報でも,請求などの処理とは別に,マーケティング/分析用に別のデータを作成し,利用している場合がある。こうした点を見落とすと,その情報が流出したことを即座に把握できなくなる。詳細については,日経コンピュータ5月31日号を読んでいただければと思うが,ここでは,取材の中で浮かび上がった問題について述べたい。

 問題というのは,“不要な個人情報”の扱い方である。ここで言う“不要な個人情報”は,業務上アクセスすることがないデータのこと。例えば退会した顧客の情報である。退会した顧客とは取引がないのだから,本来なら,不要な情報になるはずである。業務上は,廃棄してしまって構わない。むしろ,個人情報保護の観点からは,漏洩のリスクを抑えるため,使わないデータなら早く廃棄してしまいたいところである。

 ところが,これがそう簡単にいかない。ジレンマがあるからだ。例えばすでに情報が漏れていたとしたらどうだろう。退会した顧客のデータを今削除してしまって,これから先,過去の漏洩が発覚したら・・・。データとの突き合わせに支障が出れば,対処が遅れかねない。こう考えると,“不要な個人情報”でもきちんと保管しておくほうがいいという考えが成り立つ。顧客が再入会するような場合を考えれば,また使えるから保管しておくと考えることもあるかもしれない。実際,事件を起こした企業のほとんどが,何らかの理由で解約・退会した顧客の情報を保管していた。

社内で激しい議論が続く企業もある

 では,どうするのが適切か。答えは出しづらい。考え方は企業や立場によりまちまちだ。ある企業では,“不要な個人情報”の扱い方について業務部門と情報システム部門で意見が食い違い,激しい議論が続いているという。

 例えば昨年11月に個人情報の紛失事故に見舞われたNTTデータ(関連記事)。事故後,顧客データの一切が見えなくなるようにマスキングしたという。廃棄ではないが,システム管理者でさえ見えない状態にした点では廃棄と同等である。

 同社が紛失したのは,不動産販売の仲介サイト「HOME4U」で見積もりを依頼した顧客の個人情報。システム運用を委託していた事業者のある社員が,企画の参考にとデータをパソコンに複製して持ち出し,パソコンごと紛失した。元々,NTTデータにとっては不可欠な個人情報というわけではなかった。ただ,「仲介業者から返事が来ない」など顧客が困ったときの対応などを目的として,個人情報を保管していた。

 一切の個人情報を見えなくしてしまうことで,顧客から問い合わせが来ても即座に対処できなくなった。しかし,そこは仲介業者からコール・バックさせるなどの運用でカバーできる。結果的に,リスクを減らすことを優先した。

 一方,NTTドコモは,解約した顧客の個人情報を一定期間だけ保管している。現状では,総務省のガイドラインに,不要な個人情報は削除するように書かれているため,一定期間を経過したら削除している。ただし,ガイドラインでは保管期間を明確に決めているわけではない。そこで同社の判断で期間を決めているわけだが,今の保管期間が合理的かどうかは分からない。来年4月の個人情報保護法の全面施行を前に,もう一度,適切な期間を検討しているという。

(河井 保博=日経コンピュータ)