エンタープライズ:ニュース 2003/07/09 03:02:00 更新


プライバシーマークが果たす役割と課題

「ITガバナンス 2003」の中で、日本情報処理開発協会でプライバシーマーク事務局長を務める関本貢氏が「プライバシーマークと個人情報保護」と題した講演を行った。

 日本情報システム・ユーザー会(JUAS)の主催で7月8日より行われている「ITガバナンス 2003」では、ITと企業のビジネス戦略をどのようにかみ合わせていくか、という本質的なテーマを軸に、投資効果の測定やプロジェクト管理、アウトソーシングといった個々のトピックごとにセッションが行われている。

 さて、コーポレートガバナンスの面でも、またIT戦略上も重要性を増しつつあるテーマの1つが、リスク管理であり、セキュリティおよび個人情報保護対策であることに異論はないだろう。8日午後には、日本情報処理開発協会(JIPDEC)でプライバシーマーク事務局長を務める関本貢氏によって、「プライバシーマークと個人情報保護」と題した講演が行われた。

 JIPDECでは1998年よりプライバシーマーク制度を運用してきた。個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)に準拠し、個人情報を適切に取扱っていると認定された民間事業者に対し、「プライバシーマーク」の使用を認めるというもので、これまでに500社以上が認定を取得している。関本氏によると、うち7割以上が「情報処理サービス業」で占められている。これはおそらく「取引先からの信頼を得るために取得したもの」(同氏)という。

消費者の不安と事業者の懸念

 関本氏はまず、個人情報保護が必要とされるようになった背景には、消費者側の不安と事業者(企業)側の懸念という2つの要素があるとした。

 「個人情報が知らない間に利用されるなど、個人が、自らの個人情報をコントロールできない状況が生じている。一方、企業にとって個人情報は不可欠な経営資源だが、その収集方法や用途、保存に際して誤りが生じれば非常に大きなダメージを受ける。こうした状況を放置しておくわけにはいかない」(同氏)。

 こうした懸念から、古くは1980年の「OECDプライバシーガイドライン」にさかのぼる個人情報保護のためのルールが形作られてきた。通商産業省(当時)が定めた「個人情報保護ガイドライン」やJIS Q 15001もその延長線上にある。そして駄目押しともいえるのが、今年5月に成立した「個人情報の保護に関する法律(個人情報保護法)」だ。「これまではガイドラインレベルだったが、(法案成立により)ようやく個人情報というものが保護の対象になった」(関本氏)。

 ちなみにプライバシーマーク制度が基盤としているJIS Q 15001は、「個人情報保護法が要求しているレベルを包含するもの」(同氏)という。

個人情報保護が含む幅広い概念

 関本氏は、個人情報保護は、「保護」という言葉から受けるイメージ以上に幅広い概念を含むものだと説明した。具体的には、個人情報保護法にも盛り込まれていることだが、例えば「同意に基づく適正な収集」「データの正確性の確保」「利用目的の明確化」「透明性の確保」などが含まれる。何より、個人情報保護システムを構築、運用するという責任の原則が根本になければならない。それが実現されてはじめて、消費者と企業との間の信頼関係が構築できるという。

 「“保護”という言葉から“データの安全性の確保”が連想されがちだが、これはあくまで、個人情報保護を構成するいくつかの要素の1つであることに注意が必要だ」(関本氏)。

 その上で関本氏は、プライバシーマーク制度の概要を紹介した。曰く、審査に当たっては、経営層へのインタビューを通じ、その企業が本当にプライバシーを経営課題としてとらえているかどうかをチェックしていること、いったん認定を与えた事業者についても、消費者からのクレームがあれば調査を行ったうえ、改善勧告を出し、場合によっては認定を取り消すケースもあるということ(ただしJIPDECのWebページによると、これまでに取り消し措置を受けた事業者は存在しない)などだ。

 プライバシーマークが基盤としているコンプライアンス・プログラムは、一般的なセキュリティポリシーの策定、運用と共通する部分が多い。例えば、Plan-Do-Check-Actという4ステップのマネジメントサイクルが仕組みが基本となっていること、また最上位の規定として「個人情報保護方針」を定め、それに沿って基本規定とより詳細な実施・運用規定やマニュアルを定めていくという体系などは、セキュリティポリシーのそれと非常に良く似ている。

 関本氏は、こうしたコンプライアンス・プログラムの概要について説明しながら、特に2つのことを強調した。1つは、「各部門における個人情報保護の管理責任者を任命するとともに、監査の責任者も任命し、そのうえできちんと代表者に報告させる体制を作ること」(同氏)。単にルールを作り上げるだけでなく、現場にそぐった形で実行できる仕組みを作り上げることが重要だという。

 もう1つは、適切な形で情報を収集するために、「Webアプリケーションの作成要領をまとめておくことだ。企業全体で統一的なWebアプリケーションを作成するのは困難だが、思わぬ問題が生じるのを防ぐためにも何らかの要領をまとめておくべきだ」(関本氏)。

 コンプライアンス・プログラムでは他にも、個人情報を適正に管理し、安全性を確保し、さらに問題発生時に関する規定を定めておくことなどが定められている。関本氏はその上で、単にルールを作り上げるだけでなく、それをきちんと実行・運用していくことが重要だとした。

実行こそ鍵だが……

 関本氏の言葉は別にして、Webサイト全体の数から言えば、500強というプライバシーマークの取得数は少ない。とはいえ、同様の役割を果たしている仕組みは他にオンラインマーク程度。事業者としては、これをきっかけにして個人情報保護体制の強化につなげるという意味で、プライバシーマーク制度の存在は評価できないこともないだろう。

 だがひとたび消費者の立場に立てば、プライバシーマーク制度も含め、一連の評価制度はあくまで目安と受け取るのが妥当だ。どうしても個人情報の流出を防ぎたければ、利用サイトごとに少しずつ情報の内容を変えるなどして自己防衛を図るしかないだろう。というのも、もし事業者側に何らかの瑕疵があったとしても、それが原因となって情報漏洩が発生したしたことを立証し、事業者側にその責任を問うのは現実的に困難だからだ(逆もしかりだ)。また、消費者がWebサイトで直接相対する(ように見える)事業者だけでなく、その事業者が業務を委託している第三者による個人情報保護をどのように担保していくのかという部分についても議論が必要だ。

 関本氏は講演の中で「まず個人情報保護ポリシーを定め、その上で法人全体として個人情報保護に取り組むことが重要だ」と述べた。この言葉はそのまま、政府・地方自治体や公共団体にも当てはまると考えてもいいはずだ。しかし今回の講演では、先日明らかになった「平成15年度秋期情報処理技術者試験受付に関するトラブル」や、それを踏まえての対処策への言及はいっさいなかった。

関連記事
▼セキュリティアラートへ

関連リンク
▼JUASフォーラム ITガバナンス 2003
▼日本情報処理開発協会

[ITmedia]