【ネット時評 : 高木 寛(インターネットプライバシー研究所)】
個人情報保護法本格施行1周年

takagi2.jpg
 
 ライブドア事件を報道するテレビ番組が、沖縄のホテルで亡くなった関係者を取り上げたときのこと。ホテルに残された宿泊票を放映したところ、出演していた某ベンチャー企業経営者が「それって個人情報保護法違反ですよ」と声高にさえぎった。司会者は当惑気味の表情を浮かべたが反論せず、時間と話しの流れが失われてしまった。

 司会者が「個人情報保護法は報道を目的としている場合適用されません。しかも死者の個人情報は法律の対象外です」とひとこと言えば済んだことである。表現の自由との関係で強く反対していた報道機関でもこの法律が周知されていないのか、それともマスコミ的にはもう風化を始めたのか。
 個人情報保護法が本格施行されて1年が経過した。この期間、目だったものと言えば(1)個人的には仕事の山(2)個人情報保護法違反と言われないための対策(3)笑えない過剰反応(4)それでも発生する個人情報の事故への対応(特に主務官庁)(5)ウイニーのウイルスによる情報漏洩事故対策といったところだ。そうしているうちに改正商法の施行が近づき、日本版SOX法とからんでセキュリティと企業統治、というテーマの検討が流行病のように押し寄せている。

いま何を考えるべきか

 少しわき道にそれるが、各企業は、ウイニー対策を徹底する必要があることを書いておきたい。我々のクライアントには、早い段階で具体的対策を提案し、リスクを下げることができた社もある。社内のPCであれば対応可能だが、多くが委託先や社員の自宅のPCで発生しているところが厄介である。事故は、個人情報の持ち出し禁止違反とウイルス対策の不備、さらに実際には画像・音楽著作権侵害目的の三重奏が原因であるから、漏洩が起きたら理由の有無を問わず責任を問う結果責任の厳罰主義が認められよう。これを警告することによる抑制的効果を狙うのは有効である。

マネジメントシステムの最適化

 ウイニーはともかくとして、商法改正、SOX法、ISMS(情報セキュリティマネジメントシステム)のISO/IEC27001化の実施、プライバシー・マークの準拠標準であるJIS Q 15001の2006年版の発表などにより、企業統治としてのセキュリティが言われはじめた。また、これまで以上に実効的なセキュリティが要求されようとしている。これまでのコンプライアンス(法令順守)という概念ではあいまいだった点が、具体的な要求となってきているのだ。
 だが、きちんとセキュリティを考えていなかった企業にはここに思わぬ落とし穴が待っているかもしれない。例えば、個人情報保護法では委託先の監督が義務付けられ、企業はこれを明確にした契約を結んだ。しかし、リスク分析がきちんとされていないケースが少なくない。業種、取り扱う個人情報の違いなどを無視し、極端な場合は個人情報の有無すら確認せずに画一的に結んだ結果、膨大な数の契約が生じてしまった。今度は、その実効性の確認が要求される。いわゆる下請けに対する押し付けの契約は簡単かもしれないが、これからは1件ずつ契約遵守を確認することになる。このチェックをアウトソーシングしたとしても容易なことではない。1年後の契約の見直しでは、きちんとしたリスク分析をして、無用な契約は廃棄するなど適切化をはかる必要がある。

ダブルスタンダード

 もうひとつ、セキュリティのブームのなか、ISMSとプライバシー・マークの二つの認証を取得した会社がある。二重に安全策を講じているから良いというものではない。この場合、この似て非なるもののために別々の社内ルールを策定してしまった会社が少なくない。本来、セキュリティとして体系的・統一的なマネジメントのもとにおくべきところを認定の種類ごとにルールを作ってしまったのである。その結果、社内に二重の規程が登場し、社員は戸惑うだけでなく、実際には両方とも遵守しなくなってしまう。
 実は、この問題はISO9000シリーズとプライバシー・マークとの間で以前から生じていた。両者を統合したマネジメントシステムは、プライバシー・マークだけのものよりも複雑になる。このため、個人情報保護を品質管理の規程や帳票に埋め込んだ部分が、プライバシー・マークの審査段階で見落とされてJISへの不適合とされるため、取得のために二重化せざるを得なかったケースもあったのだ。
 しかし、ISO/IEC27001や個人情報保護の新JISでセキュリティの実効性が要求されてくると社内的ダブルスタンダードは到底維持できない。現在はさらに商法改正、SOX法が入ってこようとしているのであるから、企業統治、マネジメントを体系的に統合しておくことは必須といえるだろう。

<筆者紹介>高木 寛(たかぎ ひろし)
インターネットプライバシー研究所 代表
わが国で最初の個人情報保護専門のコンサルティング会社InternetPrivacy研究所を設立。プライバシーマーク(JIS Q 15001準拠)の取得支援を中心にコンサルティング活動を行っている。85年の通信の自由化以来、電子ネットワークに関するフリーランスのジャーナリスト、電子コミュニティーのデザインに関するコンサ ルティングなどを経て現職。情報を活用しながらも、人間性をもったネットワーク作りにかかわりたいと考えている。

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/91

コメント一覧

メニュー