2005年4月に個人情報保護法が全面施行されてから3カ月が経過した。保護法により,個人情報の漏洩事件/事故の減少が期待されたものの,事実は異なるようだ。報道などによると,3カ月間で100件を超えている個人情報漏洩が報告されている。「個人情報保護法対策は万全」と考えている企業/組織においても,実際には実効性のある対策が施されていない可能性がある。そこで本稿では,情報漏洩が後を絶たない原因と,企業/組織が今なすべきことを考えてみたい。

「外部持ち出し」が原因の一つ

 報道などで明らかにされている情報漏洩事件/事故を筆者が調べたところ,全体の7割以上が盗難や紛失によるものだった。そのうち,情報自体ではなく,情報を収めたパソコンが盗難に遭った,あるいは紛失したケースが3割近くにのぼる。盗難については,車内に置いたパソコンを盗まれたケースが少なくなかった。

 また,全体の2割近くがメールやファックスの誤送信およびウイルスなどによるものだった。

 ある調査では,4月の時点で7割近くの企業が「個人情報保護について対策済み」と回答したという。では,3カ月間に発生した事件/事故は,未対策の3割の企業で起きたかというと,筆者はそうは思わない。「対策済み」としていた企業でも起きていると考える。そもそも,未対策の企業では,情報漏洩が起きても発覚しない可能性が高い。

 では,なぜ「対策済み」としている企業で事件/事故が起きたのか。筆者は以下の2点が原因だと考える。

(1)個人情報の外部持ち出しを考慮していなかった

 個人情報保護対策で重要な点の一つは,「企業に存在する個人情報を洗い出して『個人情報管理台帳』を整備し,個人情報を取り扱う過程(ライフサイクル)にあるリスクを認識する」ことである。この「個人情報のライフサイクル」において,「社員が社外に持ち出す」という業務フローを考慮していなかったために個人情報を流出させた可能性がある。

 「社員が外部に持ち出す」ことを考慮していれば,当然,「車内に個人情報(個人情報を収めたパソコン)を放置すること」や「公共交通機関の車中に置き忘れること」がリスクになることが分かる。これらのリスクが個人情報保護対策の規定には盛り込まれていなかったために,担当者(個人情報を取り扱う社員)の認識不足/注意不足を招き,情報漏洩事件/事故に至ったケースは少なくないだろう。また,個人情報の持ち出しによるリスクを低減するための対策(例えばデータの暗号化)が施されていなかったために事件/事故をより深刻にしたと考えられる。

 実際,盗難/紛失が発生した企業の中で,「データは暗号化していたので,情報漏洩の可能性はきわめて低い」という表明をしたところは一部だった。外部持出し情報への対策の甘さが目に付いた。

(2)個人情報の外部持ち出しにおける規定を周知できていなかった

 「個人情報の外部持ち出しがリスクになること」や「リスクを回避/低減するために取るべき行動」を個人情報保護対策の規定(ルール)に盛り込んでいる企業でも,事件/事故が起きた可能性がある。原因は,担当者への周知不足である。

 規定を作っておきながら事件/事故が発生した企業では,全担当者が,個人情報の外部持ち出しによって発生しうる問題と,その問題によって生じる損失を理解していたとは考えにくい。業務フローを考慮した上で作成された個人情報保護対策やそれに違反した場合の罰則などを,全担当者に理解させるような教育が実践できていれば,例えば「個人情報を車内に放置する」といった状況は生まれなかったはずだ。

「対策済み」企業でも再確認を

 「既に対策済み」としている企業でも,前述の2点を含め,対策状況を見直す必要がある。形式的な対応しかしていない可能性があるからだ。

 個人情報保護法への対応として,以下のような項目が要求される。

  • 個人情報保護方針の公表
  • 個人情報保護体制の確立
  • 個人情報管理規程の策定
  • 個人情報利用目的の明示
  • 個人情報問合せ窓口の設定
  • 個人情報管理規程に基づく従業者教育

 「既に対策済み」としている企業では,いずれについても「実施している」と答えるだろう。だが,筆者の経験や見聞きした状況を鑑みると,「実施している」と答える企業でも,実施レベルに大きな差があることが想定できる。

 「上記項目を実施しているので,既に対策済み」と認識している企業の担当者は,以下の項目をきちんと実施しているかどうか改めて確認してほしい。

  1. 全担当者(あるいは全組織)を対象とした個人情報の洗い出しを実施したか
  2. 外部への持ち出しや外部との通信を必要とする個人情報に関する業務フローをレビューしたか
  3. 人的対策/技術対策/運用対策/物理対策——以上を効果的に組み合わせているか
  4. 策定した規定(対策)の意味や罰則を周知徹底できているか
  5. 個人情報保護活動の運用状況を確認するために内部監査(あるいはこれに準ずる活動)を実施しているか

 いくら網羅性が高く詳細な規定を策定しても,業務フローを理解したものでなければ守ってもらえない。例えば,業務上,個人情報の外部持ち出しが必要な部署に対して,「持ち出してはいけない」と禁止しても,規定が無視されるだけだ。そういった場合には,持ち出す際の注意点やリスクを低減する対策(データの暗号化など)を規定に盛り込まなくては実効力はない。

 また,規定の周知徹底を図るための教育も,単なる一般的な教育ではなく,実際の業務と関連付けた内容にすべきである。その上で,「なぜこの規定が必要なのか」「やって良いこと,悪いことは何か」を理解させる内容でなければ効果はない。

 個人情報保護法の全面施行から3カ月。未対策の企業は早急に対策を施すことはもちろん,対策済みとしている企業でも,今回を機に,対策の実効性を改めて確認したい。

東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 営業本部・経営品質コンサルティンググループ

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。