2004年個人情報漏洩事件が大きく世間を騒がせたこともあり、個人情報に対する関心が企業にも個人にも急速に高まった。個人情報保護法の完全施行も迫っており、企業はまったなしの対応を迫られている。だが、対応を行う企業側に混乱があるのも事実だ。牧野弁護士は、コンプライアンスとは管理責任を果たしリスクシェアすること、顧客との信頼を生み出すものであるべきだと話す。

ITmedia　個人情報保護が大きくクローズアップされた2004年でした。どう振り返りますか？

牧野　2004年は終盤までエンジンがかからず、右見て左見て事故が起きていた印象があります。非常に大きな事故も起きましたし、多くの架空請求に結びつく事故もありました。個人情報漏洩の怖さが見えてきた年であったといえます。そんな流れもあり、多くの企業が対策の必要性に気づきはじめ、年の後半から一種の駆け込み需要という状態が生まれました。若干遅すぎる感じもしないではありませんが、法律の施行直前になって、ようやく本気になってきた感じです。

ITmedia　対策が必要と分かっていても、具体的にどうしたらいいか悩む企業も多いようです。

牧野　「企業が管理責任を尽くしてください」というのがこの法律のポイントです。管理者が管理すべきことをきちっとやっていれば、基本的に事故は防げるはず、という考え方で成り立っています。

　企業にはいま、「管理したくないから管理しない」「管理しないものは個人情報ではない」という最後の逃げごまかしが流行りつつあります。携帯電話に入っているデータベースは管理しきれないから個人情報じゃない、社員の持っている名刺は会社が管理できないから個人情報じゃない、こういった横暴な議論が企業の中で渦巻きつつあります。

まだ考え方が整理されていない

ITmedia　対策は業務のプロセスにまで踏み込むわけで、一筋縄ではいかない点もあります。しかし、なぜこのような状況が生まれているのでしょう。

牧野　企業の中でまだ「個人情報って何」という考え方が整理されていません。管理者には、管理していないものは個人情報といってほしくないという欲望があります。個人情報は客観的に定義されているのに、それをきちっと評価できないわけですから、概念に混乱が生まれてきています。そこで本などに頼っても、抽象的なことばかり書いてある。何とか基準を立てて、何とか規定を立てて、計画を立てて――と。すると「うるせーな、誰がやるか」となってしまいます。

マスコミも事実報道だけでなく、もっと個人情報に関する問題を深めて熟成していく道をとってほしいと話す牧野氏

　概念もはっきりしない、何をするのかもわからない。にも関わらず、漏洩すれば数十億円の損害が出る、と責任ばかり大きく脅かされていれば、手を引いてしまうのは当たり前です。しかし、一度事故が起これば、責任者が出てこいという話になるのですから、経営者は腹を括って陣頭指揮をとるしかありません。

　たかが個人情報、一人1万円ぐらいどうってことないんじゃないか、と考えているかもしれません。いままでは大企業ばかりが問題になっていましたから、倒産というケースはありませんでした。しかし、これから中堅どころが事故を起して大変なことになれば、倒産という事態も出てくるでしょう。財産価値の300万円と個人情報の300万円では、個人情報の方が大きな打撃なのです。300万円の損失は稼げば何とかなりますが、300人の情報を漏洩したということは、それだけ信頼を失い、不信感を生みます。一度付いた不信感は、そう簡単には解けません。

　現実にクレジットカードの情報が漏れた事件がありました。今後信頼しますかと問われれば、信頼するとはいえません。500円配られても、二度とやらない保証はどこにあるのか、と思ってしまいます。彼らはこれからどう影響してくるか意識していないかもしれませんが、ボディーブローのように効いてくるはずです。一度信頼が失われてしまえば、勝つはずのコンペティションに勝てなくなる。今後は、こういう事態があちこちに見られるようになると思います。

　個人情報漏洩が、なぜいけないか。それはお金の問題ではなく、情報社会の中で企業が生きていく唯一の基盤である信頼に大きくヒビを入れているためです。雪印にしても三菱自動車にしても信頼を失った企業の末路は、はっきりしています。だとすると、信頼をいかに確保していくか、それが問われている時代になっているのではないでしょうか。

コンプライアンスにより顧客との信頼を熟成する

ITmedia　これからのセキュリティは、リスクヘッジでなく、リスクシェアだと指摘されていますね。

牧野　いままでのセキュリティといまのセキュリティは質が変わってきています。これまでは企業が持っている財産を失わないためにどうするか、という考え方でした。鍵をかけましょうとか、契約でも損をしないための契約でした。リスクヘッジで、孤立することが一番良かったのです。

　ところが、いまは顧客から情報を預かり、企業に委託しますという横のラインが明確に認識されてきました。個人情報保護法というのは、預かっている情報を守れよ、といっています。従業員を管理するのは顧客の情報を守るためで、委託先を監督するのも、事故を起さないためにみんなで守ろうということなのです。このような横のリレーションを大切にして、自分を守るためではなく、顧客を守るために順法する。信頼を熟成し、信頼を守るということがコンプライアンスということになります。

　決して自分がよいだけではいけません。情報を預かっている事業者がきちっと顧客を守っていく、守ることで顧客に良いサービスだと認識してもらう、そして顧客はより良いサービスを求めてさらに自分の情報を提供する――この相乗効果を顧客と企業の信頼関係で作り上げていく必要があるのです。

　リスクの切り出し方でなく、個人情報を持つことの危険をシェアする。提供者と事業者がお互いけん制しあいながら緊張感を持って情報を守っていこう、信頼を作っていこう、そういった関係が求められているのです。

ITmedia　コンプライアンスという観点から見て、2005年はどのようになると思いますか？

牧野　もっと大きな意味でのコンプライアンスが求められる時代になると思います。個人情報保護は三段跳びでいえば、ホップに過ぎません。いまは個人情報を分類している状況ですが、もっと価値があるのは法人情報だとみな気づいています。2005年はこれを守る第二段に入ってきます。その先には、コンテンツビジネスに関するノウハウやアイデアを守る考え方が出てくるでしょう。

　個人情報保護は基礎体力にすぎません。その次に会社を守る、それからコンテンツを守ると市場の規模は膨大に大きくなります。企業は徐々に「情報力」という体力をつける必要があります。情報力をつけた企業こそ、情報戦争に生き残れるわけで、より大きなマーケットをシェアできるのですから。

　個人情報でセキュリティ基盤が築けていれば、もっと重要な情報を守らなければならないとき、直ぐに守れるはずです。反対に、いい加減なことをやっていれば、基礎がすぐ崩れてしまいます。そこで事故を起してしまえば、その時はもう取り返しがつきません。

今年も仕事かなあ。年末年始はみな気が緩むので、セキュリティに関する事故も多いんです。酔っ払って重要なものを紛失してしまったとかね（笑）。年明けも講演が詰まっているし、2月には休みを取りたいね。

［ITmedia］