「個人情報保護ちゃんとやってます」じゃ通じない、説明責任を果たすべき

シマンテックが開催した個人情報保護法をテーマとしたワークショップの中で、三菱総合研究所の松尾正浩氏は「企業は個人情報保護についても説明責任を果たすべきだ」と述べた。

[ITmedia]

　2005年4月に全面施行となる個人情報保護法を控え、多くの企業が、個人情報保護のための仕組みや制度作りの必要性を感じている。だが、企業の営業やマーケティング活動を展開する上で、個人情報／顧客情報の活用が不可欠なのも事実。条文やそれを補足する各種ガイドラインの内容が今ひとつ具体性に欠けることもあって、多くは、いったいどれが個人情報に該当し、どのような使い方までが許されるのか、はたまたどんな対策を講じれば十分なのかといった悩みを抱えながら手探りしているようだ。

　シマンテックは8月25日、個人情報保護法をテーマとしたワークショップを開催した。この中で、三菱総合研究所の松尾正浩氏（情報通信政策研究部情報セキュリティチームリーダー）は「多くの企業は、まだどうしたらいいか分からないようだ」と述べ、個人情報保護法を前に戸惑っている状況を指摘した。

　なお、個人情報保護法の全面施行まで半年余りとなったわけだが、松尾氏は「今からすべての対策を行うのは無理」と率直に述べている。「そう大きくない企業ならばともかく、大企業では社規やその背景にある歴史、体制や組織、権限を変える必要があり、ひいては本業への影響も出てくる。教育や監査にしても多くの時間と手間がかかる」（同氏）。多くの投資を行い、真剣に取り組まない限り、4月までにすべての対策を行うのは難しいという見方だ。

個人情報保護法をめぐる「誤解」

　松尾氏は仕事柄、個人情報保護法に関連する質問を受けることも多いというが、中には判断が難しいもの、あるいは誤解に基づくものもあるという。

　たとえば、過去に製品を購入した顧客に対し新製品の案内メールを送付するといった行為は、個人情報保護法でいう「目的外利用」に当たる可能性が高いし、付き合いのある会社に従業員名簿を貸し出す行為は「第三者提供」になる。これまで、あまり意識することなく営業の仕事の一環として行われてきた行為が、個人情報保護法に抵触する危険性がある。

　別の誤解として、「仕事が終わらず、顧客データをダウンロードして自宅に持ち帰る場合も、持ち帰る情報は5000件未満だから大丈夫」というものもあるという。これなどは数字がひとり歩きした例だ。ここで言う5000件とは、それが個人情報かどうかを判断する基準ではなく、個人情報保護法でさまざまな措置を義務付けられる個人情報取扱事業者であるかどうかを判断する基準に過ぎない。

　また、同法の中では個人情報が「他の情報と容易に照合可能で、それにより特定の個人を識別できるものを含む」と定義されている。そこで、冗談のような話だが「このままでは個人情報に該当してしまうので、データベースを2つに分割できないだろうか」といった相談が寄せられたこともあったそうだ。だが、仮に分割したところで、それが同一法人内にあり、照合可能な状態であれば意味はない。

　もう1つ、個人情報保護法の中では、「個人情報」と、それに検索性／体系的な構成を加えた「個人データ」、事業者が開示や訂正などの権限を持つ「保有個人データ」が区別され、段階的に異なる義務が課せられている。そして、企業側担当者の頭を悩ませる「安全管理措置」が課せられるのは個人情報すべてではなく、個人データと保有個人データであるという点にも注意が必要という。

「説明責任」が重要に

　「安全管理措置という形で（企業に）情報セキュリティ対策を義務付けたのは、実は個人情報保護法が初めて」（松尾氏）。担当者が頭を悩ませているのも、まさにそれゆえだ。

　同法の制定を受け、政府の「基本方針」、経済産業省の「ガイドライン」といった文書が公開され、技術的な側面だけでなく、組織や人、物理的な面から対策を講じるべきである旨が示されている。しかし、だ。前述のとおり、これらの指針は具体的な事柄にまでは立ち入っていない。「そもそも情報セキュリティに100％はあり得ないということもあって、どこまで対策を施せば責任を果たしたことになるのか分かりにくく、多くの企業の悩みになっている」（松尾氏）。

広くはCSR（企業の社会的責任）の一環としてとらえるべき、とも述べた松尾氏

　結論として松尾氏は、「技術的セキュリティ対策を講じるのに加え、万一の事故が起きたときに備え、説明責任を果たすことが重要だ」と述べた。たとえば、「うちはちゃんと努力して対策しました」などと口で言うだけでは、誰も納得しないだろう。「入退室やシステム利用の記録という具合に、対策を取ったことを何らかの形で残しておかなければならない」（同氏）。

　松尾氏に続いて登場したシマンテックのエグゼクティブシステムエンジニア、野々下幸治氏も、「何かが起きたときに、安全管理措置をきちんと講じていたことの証拠を出せることが重要」と述べ、そのための手段として、ポリシー監査ツールの「Enterprise Security Manager」を紹介した。

　「個人情報保護も含め、セキュリティというとまずテクノロジが挙げられる。だが、その前になすべきことがあるはずだ」（野々下氏）。たとえば、OSのパッチ適用は最低限のレベルとして、管理者権限やパスワードの適切な設定といった基本的なベースラインを満たした上でなければ、いろいろとテクノロジや製品を導入しても意味がない。その基本ラインが守られているかどうか、きちんと設定されているかを確認するのがESMの役割だ。

　野々下氏は、「今のところ日本では、ポリシー監査の分野はあまり注目されていない。だが個人情報保護法を機に、いわゆるプロテクトに関する製品だけでなく、ポリシー監査の市場も伸びるのではないかと期待している」とも述べている。