来年4月の個人情報保護法の施行まで,残された期間は4カ月。最後の追い込みやチェック作業に,忙しい日々を過ごしておられる方も多いだろう。昨日(11月30日)には,ソフトバンクBBで新たな会員情報の流失が発覚した(関連記事)。個人情報保護の重要性を再確認された方もいらっしゃるのではないだろうか。
今回は『記者の眼』の場を借りて,あらためて個人情報保護の「本質」について考えてみたいと思う。テーマは,タイトルの通り「個人情報保護は誰のためのものなのか」である。
なぜ,この記事を書こうと思ったのか。きっかけは木村修二氏との会話にある。ここ1カ月,同氏と数回お会いし,意見を聞くにつれ「多くの企業が間近の“締め切り”に忙殺され,本来の目的を見失いつつあるのではないか」と感じたのだ。
木村氏は,京都府宇治市役所の元情報管理課長。1999年5月に発覚した宇治市の住民情報データ流出事件で現場責任者として対処された方である。その経験から,個人情報保護に対して確固たる「信念」を持つ。現在は,財団法人関西情報・産業活性化センターで自治体の情報化支援の業務に携わっている。
「保身」ばかり考えていませんか
では,今回のテーマそのままに「個人情報保護は誰のためのものなのか?」と問われたら,みなさんは何と答えるだろう。答は単純明快。もちろん,企業は「情報を提供した顧客のため」に,それを保護する。
もはや,個人情報を保護するのは企業の責務である。その責務を果たしてこそ,企業は顧客からの信頼を勝ち得る。そして,それがビジネスの発展につながる。逆に言えば,それができない企業は顧客からそっぽを向かれ,市場からの撤退を余儀なくされる。情報の利用目的を明確にし,情報の削除依頼や開示請求にきちんと対応することも,顧客からの信頼を勝ち得るための,企業としては当たり前の姿勢なのだ。
しかし,この「本質」をときに見失っていないだろうか。多くの企業は「顧客のため」ではなく,自らの「保身」のために個人情報保護を位置付けていないだろうか。これが木村氏の指摘である。
例えば,外部からの第三者の不正アクセスが原因で,個人情報を漏洩してしまったとする。この場合,企業も不正アクセス者の手に落ちた被害者だといえなくもない。しかし,「顧客のため」という本質を見失わなければ,間違っても「我々も被害者です」などの発言は出ないはずだ。事件発生後は,とにかく「顧客のため」に全力を尽くすべきである。顧客を二次被害から守るための策を講じ,再発防止のために漏洩原因を突き止め,それを顧客に対して開示する。
しかし「それを忘れて,釈明会見で自らの保身を口にする企業が多い」と木村氏は指摘する。また,個人情報保護の“定石”通り,事件発生後すぐに,その事実と謝罪のリリースを出す企業は増えているが,その際に「保身」ではなく,きちんと顧客のことを考えたものになっているだろうか。漏洩事件が起こって,被害を受けるのは情報を提供した顧客である。
木村氏は,セキュリティ監査についても苦言を呈す。監査はセキュリティ対策の有効な策である。監査を受けるのは悪いことではない。しかし,その監査結果の詳細は公開されないのが一般的。企業は「外部企業の監査を受け,安全だと証明されました」と公表するだけだ。
これでは,どの企業が本当に信頼できるのか顧客は判断できない。「監査は,結果を公表しなければ意味がない。顧客がきちんと選択できるように,企業はセキュリティ情報を公開すべき。これが顧客のための正しい行為」というのが木村氏の持論だ。
個人情報保護についての考えは,企業や業種によってさまざまだろう。しかし,筆者も木村氏同様,「顧客のため」という本質はぶれないと考える。保護対策を講じるとき,事件発生後の対応を考えるときなど,それぞれの局面で企業は「どのような対策・行動を採れば顧客のためになるのか」を必ず念頭に置いておくべきだ。個人情報保護法の施行が間近に迫った今だからこそ,この「本質」から外れていないか,あえて自問してみるべきだろう。
(藤田 憲治=日経パソコン)
