ニュース
2004/03/24 13:33 更新
個人情報保護法対策、「具体的に何を?」と悩む企業
インターネット協会が開催したセミナーの中で、ニフティの法務部シニアスペシャリスト、鈴木正朝氏が登場し、個人情報保護法への対応に苦慮する企業の悩みと論点について触れた。
「個人情報保護法の条文を見て対策をしようとしても、具体的にどうすればいいのかが分からない。しかも背後には“行政処分”“刑事罰”が控えており、非常に気持ちの悪い状況だ。その意味で個人情報保護法は“実験的法律”だ」――。
インターネット協会が3月23日に開催した「インターネットにおける個人情報保護と人権」セミナーの中で、ニフティの法務部シニアスペシャリスト、鈴木正朝氏はこのように述べ、個人情報保護法への対応に苦慮する企業の悩みを吐露した。
それでもこの数カ月で、急速に、個人情報保護が「経営マター」として捉えられるようになってきたと鈴木氏。しかし、人やモノ、カネに関する制度が枯れてきているのに対し、こと情報に関する社内/法制度となるとまだ議論が続いており、試行錯誤の状態だ。最大の問題は、「情報という資産をどう取り扱うかについて、確固たる思想がない」(同氏)ことだ。
したがって、とりあえず個人情報保護法だけを視野に入れてコンプライアンス・プログラムの体を整えたとしても、それだけではうまくいかないだろうという。
鈴木氏はまた、個人情報はいったい誰のものなのか、という点にも疑問を投げかけた。これまでの所有権のアナロジーになぞらえれば「個人情報はその個人のものである」という考え方は受け入れやすいが、インターネット上を漂う個人情報については、情報発信権などとの兼ね合いからかなり注意が必要だという。
同氏は、今の時点では、手帳に記された情報や名刺から遺伝子情報のようなセンシティブなものまでがすべて、ひとまとめに「個人情報」として取り扱われているが、「それは非常に乱暴だ」と指摘。さまざまな情報の内容やケースごとに、きめ細かくセグメント分けを行い、それぞれについてルールを決めていくべきではないかと述べている。
今後を見据えた「目的の特定」を
さて、いずれにせよ企業は、待ったなしで個人情報保護法への対応を迫られている。ここでまず必要なのは「企業内にどのくらいの個人情報があるかを把握することだ。保護の対象を認識しなければ、保護はできない」(鈴木氏)。この際、情報の「取得」「利用」「消去」というライフサイクルを意識することが重要だ。
個人情報保護法では、情報を取得する際にまず、利用目的を特定し、利用者にそれを明示することが求められる。ただ、「これが難題だ」と鈴木氏は言う。利用目的の特定と明示は、個人情報の取得時だけでなく、その後の事業活動に影響してくるからだ。「いったん目的を明示すれば、その後もその範囲内でしか個人情報を取り扱えない。外れれば即、法律違反になる」(鈴木氏)。
問題をややこしくしているのは、個人情報は決して単一のソースからのみ入ってくるわけではないという点だ。個人情報は、店頭やWeb、さらには営業マン一人一人といった無数のチャネルを経由して、データベースの中に入ってくる。「では10年後に、このデータベースの中から情報を抽出してダイレクトメールを出そうとした場合、果たして利用目的と照合することができるだろうか? 利用目的が分からない情報が含まれた個人情報データベースは、怖くて使えなくなる」(鈴木氏)。
そう考えると、今からデータベースシステムの設計を変更する必要がある。「単一目的ならばともかく、いろいろな目的に利用するならば、目的を参照して個人情報を引き出せるようにしておかなければならない」(同氏)。
明確なガイドラインを
情報のライフサイクルを考慮して対応を図るには、まず自社のビジネスプランを明確にし、どういった業務で個人情報を利用するかを洗い出しておかなくてはならない。鈴木氏は、企業内の個人情報の流れを特定する作業を、「駐車場の中にバスが何台あり、それぞれのバスがどういった運行ルートを通って始点から終点まで行くかを特定し、さらに各ルートで事故が起きそうな危険なポイントを洗い出すようなもの」だとたとえている。
その上で情報の「取得」に取り掛かるわけだが、ここにまず難しい部分が残る。個人情報保護法では「できるだけ利用目的を特定せよ、と書いてあるが、では具体的にどう書けばいいのかが分からない。法律や各省庁の出すガイドラインよりもさらに落とし込んだ業界ガイドラインが出るまでの間、企業ごとに推測して書くしかない」(鈴木氏)。
ただ、顧客満足度の向上やコールセンター対応などの実務的な側面から言えば、「顧客が何を気にしているかを知る必要はある。また、(利用目的が)あまりに漠然とした表現だと、コールセンターに問い合わせに殺到する可能性もある」(同氏)。
いずれにせよ、「顧客に不審を抱かせず、しかし後々のビジネスに制限をかけすぎないようバランスをとらなくてはならない」という。
鈴木氏は、特定した目的の「明示」についてもガイドラインが必要だという。「たとえばWebならば、“送信”ボタンを押す前に枠の中で表示すればいいのか、フッターに記せばいいのか。Web以外にも店頭の場合、はがきの場合など、手段ごとに具体的なイメージを確立していかなければならない」(同氏)。
また、委託先などから個人情報を間接的に取得する場合にも注意が必要だ。さらに「情報システム部門と営業部門など、社内の情報伝達の関係を意識する必要がある」という。というのも前出のように、データベース内にあるからといって、その個人情報と目的が合致しているとは限らないからだ。特に、「システム的に自動的に情報を連携、取得しているケースでは個人情報を取得しているという意識が薄れるため、仕様書レベルに落とし込んでチェックするべき」という。
同氏はさらに、W3Cが定めた――つまりは米国発の規格である――個人情報保護仕様「P3P」と、日本国内の法律である個人情報保護法との整合性をどのようにとっていくかについても、議論が必要ではないかと述べている。
委託先との関連に留意
続いて個人情報の利用、管理というフェーズに入るわけだが、ここでまず論点となるのは、他の企業との関係だ。
「たとえば、家電量販店でインターネットサービスプロバイダーのサービス販売を行っているケースを想定しよう。顧客は一度しか申込書に記入を行わない。この場合その顧客は、量販店の顧客なのか、それともISPの顧客なのか」(鈴木氏)。
つまりここでは、販売委託を行っているのか、それとも第三者からの個人情報提供になるのかを明確にする必要がある。委託先に対する監督責任を果たすためにも、「今後はこの部分を組み立て、申し込み用紙に目的を明示する必要があるだろう」と鈴木氏は言う。
問題は、どこまでやれば「委託先監督責任を尽くしたことになるか」が、現時点では明らかではないことだ。この点について鈴木氏は、「従来のように単なる“契約”だけでは不十分で、証拠を残す必要があるかもしれない。誓約書や監査など、契約プラスアルファといった手段について知恵を絞っていくべき」と述べた。
なお情報漏えい事件の多くが、内部犯行、それも下請企業や派遣社員経由で起きている。しかし「そこで“派遣社員=けしからん”論を張るのはナンセンスだ」と鈴木氏。
「従来のアウトソースは、管理も含めて丸投げだったという批判は甘んじて受けるべきだ。だがこれから論じるべきは、SLAによるインセンティブなどを通じて、アウトソーシング先をどう管理していくか、といった事柄であるべきだ」という。
これに関連して、トラブルが起きる前の事前モニタリング、従業員に対する監視システムの導入にも、一考の余地があるという。「雇用者の監督義務と労働者の保護、それに消費者の保護のバランスを取っていくことが大事だ」(鈴木氏)。そのためには、業務ごとに緻密な社内規定を作成し、告知し、周知することが重要だという。
これに関連して鈴木氏は、後のディスカッションの中で、「こういった監視システムによって得られた情報も、明らかに“個人情報”であり、利用目的を通知する必要がある」と言及。予防/けん制を目的として導入される監視システムについては、企業側の監督義務と労働者の権利侵害のバランスをどのようにとるかの検討が必要で、具体的には厚生労働省が取りまとめるであろうガイドラインの策定を待つ必要があるとしている。
これまであまり指摘されてこなかった点だが、情報システム部門の管理下にあるデータベースではなく、個々の従業員が用いる端末内に置かれた個人情報――Excelファイルなど――をどう管理していくかにも注意が必要だ。「個々の端末までにはなかなか目が届かないが、数百件、数千件といった単位での情報漏えいが起きる可能性はある」(鈴木氏)。
鈴木氏はさらに、個人情報の消去のフェーズに関連して、「たいていの情報はバックアップを取るものだが、そのデータも含め、どことどこのデータを消すか、つまり“消去”の定義を考える必要がある」と指摘。複数のデータを消去した際に、想定しなかったバグが生じる可能性も含め、消去の方法についても検討が必要だとした。同様に「利用停止」についても定義と方法を検討すべきだと述べている。
関連リンク
日本インターネット協会[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
