明日全面施行の個人情報保護法、求められる継続的な対策

個人情報法保護法が明日、全面施行となる。今も急ピッチで対策を進める企業の姿が見られるが、社内ルールの整備だけに終わることなく、継続的なセキュリティの向上が求められる。

» 2005年03月31日 17時58分 公開
[堀哲也,ITmedia]

 「個人情報の保護に関する法律」(個人情報法保護法)が明日4月1日、全面施行となる。今も急ピッチで対策を進める企業の姿が見られるが、社内ルールの整備だけに終わることなく、継続的なセキュリティの向上が求められる。

 法律自体は2003年5月に公布・施行されていたが、4月1日からは民間事業者を対象とした部分も施行となる。5000件を超える個人情報を保有する企業は、個人情報取り扱い事業者とされ、規制の対象になる。実質すべての企業が当てはまるとあって、コンプライアンスに躍起になってきた。個人情報保護を謳ったセミナーが毎日のように開かれ、企業はノウハウを求めた(関連記事)

 特徴は、利用目的の特定・公表、安全管理措置、監督責任、開示請求等への対応などの義務がかされる点だ(関連記事)。収集した個人情報は、企業が自由に利用できる資産ではなく、消費者からの預かり物として取り扱うことが求められる。不適正な取り扱いをすると、個人情報の性質上大きな被害を及ぼしかねないからだ。

 国民生活センターが3月25日に発表した調査によると、流出事故を起こした企業には、各請求や悪質商法の勧誘が増えたという声が多数寄せられる。45件の事故ケースのうち6件では1万件以上の相談を受け付けたという。「二次被害を防止してほしい」「迷惑セールス電話・DMが事故と関係があるのか調べてほしい」といった、企業が対応に苦慮する問い合わせも多数あり、消費者が個人情報の流出に敏感になっていることが分かる。

 一度事故を起こせば、顧客との関係を損ねてしまう可能性は高い。同法による行政処分もさることながら、本当に怖いのは、消費者との信頼を失いかねないことだ(関連記事)。消費者にとっては、監督官庁のガイドラインを根拠に、対策が不十分だったとして損害賠償請求が起こしやすくなると言われる。流出によって企業が受ける損害もこれまでより高まるかもしれない。

 だが、これまでに事故を起こした企業が何も対策を行っていなかったわけではないのだから、恐ろしい。同調査では、事故企業の76%はプライバシーポリシーを策定したり、規程を整備していたと答えていた。ルール作りだけでは、言わずもがな不十分ということだ。たとえ悪意がなかったとしても、ミスにより事故は起こってしまうものだ。

 最近、コーポレートガバナンスの一部として情報セキュリティガバナンスという言葉を耳にするようになったが、企業には従業員に情報漏えいを起こせなくする仕組みが求められる(関連記事)。自社に適したセキュリティへの投資額を経営者が判断し、監視カメラや情報漏えい防止システムなどの力を借りて、物理的にも技術的にも事故を起こせなくする必要がある。「Plan-Do-Check-Act」のPDCAサイクルを確実に運用し、継続的にセキュリティレベルを高めていくことも怠ってはいけない。

 ちなみに、アビームコンサルティングが行った3カ月前の調査では、対応済みとした企業は34%しかなかった。同社は「経営者の危機意識の薄さが対応の遅れとなっている」と指摘していた。この3カ月の間で企業の対策はどれだけ進んだのだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ