ニュース
2004/03/24 13:34 更新


不要な情報は入手しない〜ヤフーにおける個人情報保護の取り組み

「インターネットにおける個人情報保護と人権」セミナーの中で、ヤフーの法務部部長、別所直哉氏が、同社の個人情報保護へのアプローチとプライバシーポリシーへの取り組みを紹介した。

 3月23日、都内の霞ヶ関ビルにおいて「インターネットにおける個人情報保護と人権」セミナーが開かれた。同セミナーは、中小企業庁の委託によりインターネット協会が開催したもので、弁護士やネット関連企業の法務担当者、掲示板運営者、被害者相談サービス事業者を招き、個人情報保護やプライバシーに関する講演やパネルディスカッションが実施された。

 この記事では、ヤフーの法務部部長、別所直哉氏によるセッションについてレポートする。ソフトバンクBBの個人情報漏洩事件が波紋を起こしている昨今だが、同氏は、ソフトバンクBBとは「別のプライバシーポリシー、別のセキュリティポリシーを持つ」というヤフーの立場から、個人情報保護へのアプローチとプライバシーポリシーへの取り組みを紹介した。

不要な情報は入手しない

 別所氏によれば、ヤフーでは従業員や役員の行動指針となる「基本的なポリシー」を2つ設定している。「不要な情報を入手しない」ことと「need to know basis(必要に応じて必要な範囲の情報を利用する)」ことだ。

iaj_yahoo.jpg

 前者の「不要な情報を入手しない」とは、利用者から得る個人情報を必要最低限の情報に限定するもの。情報を提供する消費者の情報漏洩リスクだけでなく、それらを管理する上で発生するリスクの削減を目的としている。

 マーケティング目的で、性別や生年月日、趣向など、さまざまな個人情報の提供を求める企業も多い。だが情報を持てば持つほど、リスクは高まることを踏まえ、同社は反対のスタンスを採用しているという。

 一方、後者の「need to know basis(必要に応じて必要な範囲の情報を利用する)」は、従業員のために設けられたポリシーだ。従業員が個人情報へアクセスする場合、アクセスする情報の量に比例して従業員が抱えるリスクも増大する。

 このポリシーでは、いかにそれらリスクを少なく押さえるか、という試みであり、同社ではアクセスする場所やログイン許可数、利用ツール、マシン、IPを制限することにより実現している。

 これらのポリシーを支えるのは、結局は人のリテラシーとモラルに尽きる。いったい自分が何を取り扱っており、それを間違えるとどんなことが起きるのかについて、従業員が十分な理解とリテラシーを持つことが欠かせない。

 別所氏によれば、企業内部において発生の予見が難しい「悪意」――具体的な形としては内部からの情報流出――に対し、組織として対応できるようリテラシー向上に努めているそうだ。同社では、規範による抑制だけでは不十分と考えており、制度や仕組みによる担保、メールやログのチェック、他社員による異変の察知および上司への報告など、対策を立てているという。

 「なかなか100%に至らないのは事実」(別所氏)。だが、企業組織としてのモラルだけでなく、そこで働く一人一人のモラルが大事であり、それを維持するための仕組みに注力していくという。

個人情報保護法対策ではない「プライバシーポリシー」

 2005年4月より本格施行される個人情報保護法との関連で、最近では「プライバシーポリシー」の制定に注目が集まっている。これに伴い、各省庁のガイドラインへ期待が寄せられている。

 ヤフーでは既にプライバシーポリシーを策定済みだ。だがこの取り組みは、個人情報保護法対策とは別のものだという。

 同社では、プライバシーポリシーを「企業とユーザーの約束」と捉え、企業における社会的責任の一環として位置づけている。これは、米FTCが推奨するものと同様の考え方だ。「(プライバシーポリシーは)法的拘束力を持った利用約款として用意しているのではない(同氏)」

 同氏は、より広い範囲のプライバシーを基準に、個人情報保護法だけにとらわれない「プライバシーポリシー」の有用性を訴えた。「個人情報保護法だけに拘るのでなく、個人情報保護法を踏まえた上で、あまりあるプライバシーポリシーを提供すれば良いのではないか」。

今後の課題

 個人情報保護法では、自社や業務委託先において個人情報を扱う際の規定を作るよう定められている。しかし同氏は、個人情報を同時に取得するようなパートナー企業間においても、今後は個人情報を扱う際の「ポリシー」を普遍化する必要があると述べた。

 そのほか、掲示板やチャットサービスにおける表現の自由とプライバシーのバランスといった問題へ言及し、利用者のコンセンサスを得ていくことを目指す必要があると語った。

関連リンク
▼日本インターネット協会

[武山知裕,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.