それでも事故は発生する――個人情報保護法施行後に見えてきた情報漏えい対策の課題：個人情報保護時代の情報セキュリティ再考（1/3 ページ）

2005年4月に施行された個人情報保護法は、企業内のすべての人間が情報セキュリティに関与する義務があることを認識させた。しかし事故は減っていない。個人情報保護時代の情報漏えい対策を考察していこう。

[櫻井真，ITmedia]

　2005年4月に「個人情報保護に関する法律」（個人情報保護法）が施行されてから、約9カ月が経過した。これに伴い、同法の適用対象となる企業は、法に適応するため何らかの対策を実施したはずだ。それにもかかわらず、個人情報の漏えい事故の報道は絶えない。

　個人情報保護法への順法という意味では、多くの企業は個人情報保護体制と保護方針を確立することで対処したということができる。また、この体制や方針に基づく管理策が第三者的にも適切であることを示すために、プライバシーマークやISMS認証を取得した企業も数多い。

　しかし、個人情報保護法は、「情報セキュリティ」というものが情報システム部門など社内の一部にしか関係ないものではなく、企業全体で取り組まなければならない課題であると認識させるきっかけをもたらした。法準拠のために実施された対策によって業務の手間が増えたという実感を持っている人も多いと思われるが、これは裏を返せば、本来慎重に扱うべき情報をこれまでいかに安易に取り扱ってきていたかということにほかならない。企業内のすべての人間が情報セキュリティに関与する義務があるのだ。

個人情報保護法の求めるシステム対策

　個人情報保護法では、大量の個人情報を保有する事業体（企業など）がこれを活用していく上で、適切な取り扱いを行うことが義務づけられた。具体的には、「個人情報の収集・利用の目的の明確化」「個人情報の適切な管理」「個人情報の情報主体の同意なき目的外利用・第三者への提供の禁止」「個人情報の情報主体からの開示・削除・修正などの要求に対する対応」などが挙げられる。

　個人情報の多くは情報システムによって利用されているため、法が要求する「適切な管理」を行うには、情報システムの強化が必要となることは言うまでもない。まずは、個人情報保護法をきっかけにして、企業がどのような情報漏えい対策を行ったのかを振り返ってみたい。