それでも個人情報漏えいが相次いだ一年：2005年アクセストップ10

4月の個人情報保護法の全面施行を機に、個人情報への扱いに対する関心が高まった一年だった。にもかかわらず、情報漏えい事件は後を絶たない（ランキング10位）。

[ITmedia]

　エンタープライズチャンネルで2005年最も注目された記事は何か？　年間ページビューランキングで10位を記録した「一宮市小学校名簿Winnyで流出」の記事から考察してみよう。

　2005年は、4月の個人情報保護法の全面施行を機に、個人の側はもちろん、企業側でも名前や住所、メールアドレスといった個人情報への扱いに対する関心が高まった一年だった。

　これを大きな市場と見てか、ログの保存や認証、暗号化など、「個人情報保護対応」を謳うセキュリティ製品やサービスが次々と提供された。一種の「バブル」と言ってもいいほどだ。

　しかしこれらの“ソリューション”は、企業の抱える課題を本当に解決することができただろうか？　「個人情報保護法への対応に迫られているが、具体的に何をすればいいのか分からない」という企業の不安に対し、それぞれの事情や環境に応じた必要な対策というものは提示されただろうか？　ただの「商材」として扱われてはいなかっただろうか？（同じことが話題の「日本版SOX法」対応でも起こるのではないかという懸念がある）

　もちろん、目的を明確にし、効能を理解したうえで導入するならば、そうした製品やツールが果たす役割は否定しない。しかし、何よりも大事なのは情報を取り扱う側の意識ではないかという気がしている。

　現実に発生している情報漏えい／流出事故の原因を見てみると、その大半は人的、あるいは物理的な要因によるものだ。公にされる漏えい事件を見る限り、最も多い原因は「PCの盗難や紛失」である。そして、「Winnyのウイルス」による情報流出も相次いだ。小学校の名簿のほか、住民の個人情報、診療記録、さらには原子力発電所に関する情報など、枚挙に暇がないほどだ。

　暗号化やシンクライアントといった手法が、こうした漏えいのリスクを下げるのは事実だ。しかし、最も根本的な対策は、データが含まれた端末を持ち歩くことが何を意味するのかを、会社が、そして社員一人一人が意識することにあるのではないだろうか。

　まずはそのPCで何を扱っているのか、どんな情報が含まれているのかをユーザーが意識する。そのことによって、「PCを無防備に放置すること」「重要なデータを暗号化しないこと」、そして「個人情報や機密情報を扱っているのと同じPCでWinnyを動かすこと」がどんな危険をもたらすか、自ずと認識されるのではないか。

　なお、Winny経由で情報が流出してしまった企業の発表を見ると、必ずといっていいほど、今後の方針として「情報の管理を徹底する」旨が掲げられる。しかし、いくら「徹底します」と謳おうが、ただ宣言するだけでは意味がない。昨今報じられているマンション耐震強度偽装問題ではないが、それが業務の中で実効性を持たない限り、同種の事件は後を絶たないようにも思う（関連記事）。