第1回 事故前提のリスクマネジメントの必要性：個人情報が流出 有事のときの危機管理（2/2 ページ）

[丸山満彦，ITmedia]

　漏えい時の対策を考える際には、リスクマネジメントの考え方を援用することが有益である。リスクマネジメントには、下記の2つの視点で考えることが重要である。

1. 漏えいが発生しないように、または発生してもその損害が少なくなるように事前に実施する対策
2. 漏えいしてからの対応と、そのための準備対策

　前者の対策例としては、「業務上必要最低限の者に必要なアクセス権限を与える」「データベースを分割することにより万が一の事故が起こっても被害を少なくする」という対策などがある。後者の対策が、事故・事件対応と呼ばれるものであり、クライシスマネジメントとも呼ばれている。

図1■リスクマネジメントの全体像

図2■リスクマネジメントとクライシスマネジメントの特徴

　クライシスマネジメントを考える時のポイントは、事故が起こった場合の損害が大きいリスクに対しては、発生の可能性の大小にかかわらず事前の準備と事故後の対応を定めておくことである。このポイントの詳細については、次回、詳しく説明することとして、まずは個人情報保護法の各省庁ガイドラインについて見ていくことにする。

法及および各府省庁ガイドラインの施行に伴うポイント

　個人情報保護法が施行される2005年4月1日以降は、個人情報の漏えいなどの事故事案について、別途対策が必要となることを忘れてはならない。それは、主務大臣への報告など、事故発生時の対応が明確に必要となることである。確かに、個人情報保護法では、漏えいなどの事故が起こった場合、明確な対応の規定はない。しかし、「個人情報の保護に関する基本方針」（2004年4月2日閣議決定）では、次のような記載がある。

政府基本方針

省庁 ガイドライン名 記載内容 経済産業省 経済産業分野 ※1 【組織的安全管理措置として講じなければならない事項】 （省略） （5）事故又は違反への対処 （省略） （5）事故又は違反への対処をする上で望まれる事項 ・事実関係、再発防止策等の公表 ・その他、以下の項目等の実施 ア）事実調査、 イ）影響範囲の特定、 ウ）影響を受ける可能性のある本人及び主務大臣等への報告、 エ）原因の究明、 オ）再発防止策の検討・実施 総務省 電気通信 事業分野 ※2 （漏えい等が発生した場合の対応） 第22条 電気通信事業者は、個人情報の漏えいが発生した場合は、速やかに、当該漏えいに係る事実関係を本人に通知するものとする。 2 電気通信事業者は、個人情報の漏えい等が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り、当該漏えい等に係る事実関係その他の二次被害の防止、類似事案の発生回避等に有用な情報を公表するものとする。 3 電気通信事業者は、個人情報の漏えい等が発生した場合は、当該漏えい等に係る事実関係を総務省に直ちに報告するものとする。金融庁金融分野※3第22条 漏えい事案等への対応（基本方針関連） 1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、監督当局に直ちに報告することとする。 2 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、漏えい事案等の事実関係及び再発防止策等を早急に公表することとする。 3 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、漏えい事案等の対象となった本人に速やかに漏えい事案等の事実関係等の通知を行うこととする。 経済産業省 信用分野 ※4 ■組織的安全管理措置 （10）与信事業者等は、自己の取り扱う個人データ（受託者が取り扱うものを含む。）の漏えいに係る二次被害の防止、類似事案の発生回避等の観点から以下のような適切な対処を行わなければならない。 ・事実関係を本人に速やかに通知し又は本人が容易に知り得る状態に置くこと。 ・可能な限り事実関係等を遅滞なく公表すること。 ・事実関係、発生原因、対応策その他の漏えいに関する事項を可能な限り速やかに経済産業省に報告すること。 厚生労働省雇用管理指針※5（特になし。ただし、委託先との契約において以下の項目あり。） 四　法第二十二条に規定する委託先の監督に関する事項 （省略） （二）委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。 （省略） （7）　委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。 （8）　委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。

※1.「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（2004年10月22日厚生労働省経済産業省告示第4号）／経済産業省

※2.「電気通信事業における個人情報保護に関するガイドライン」（2004年8月31日総務省告示第695号）／総務省

※3.「金融分野における個人情報の保護に関するガイドライン」（2004年12月6日金融庁告示第67号）／金融庁

※4.「経済産業分野のうち信用分野における個人情報保護ガイドライン」（2004年12月17日経済産業省告示第436号）／経済産業省

※5.「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」（2004年7月1日厚生労働省告示第259号）／厚生労働省

　事故が起こると今までは任意で事故内容を本人に通知し、また公表、行政機関に報告していたことが、このようなガイドラインに従った対応をしなければならなくなる。各企業において、それぞれに業務における所管省庁が定まっているため、自らの所管省庁のガイドラインを熟読し、対応を行わなければならない。

　各省庁のガイドラインの策定状況については、内閣府のWebページ（個人情報保護に係わる関係省庁の検討状況）に掲載されているので、確認していただきたい。

　ポイントは、報告する先が主務大臣、本人、社会と3つある点であり、それぞれの期待するものが異なるということである。つまり、この3つの利害関係者という報告先を意識した漏えい事件対応の枠組みを考える必要があるのだ。

次回は、漏えいに備えた社内体制の整備について詳しく考えていく。

丸山満彦（監査法人トーマツ）

公認会計士　シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務する。