第1回 個人情報保護法で何が変わるのか？：個人情報を読み解くキーポイント（2/3 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

　では、事業者の体制はどうなのだろうか。果たして安全な体制が取れているのだろうか。ここにも興味深い調査結果があるので紹介しておこう。

企業の情報セキュリティに関するアンケート - 結果報告　「内部からの情報漏えい対策について」の回答　出典：コンピュータ・アソシエイツ

　この結果からは、ほとんどの企業では、個人情報を含む情報漏えい対策が行えていない実態が見えてくる。調査の時期が2003年9月であるため、現在ではもう少し対策が進んでいるようにも思えるが、いずれにしても、事業者側の対策が遅れていることは顕著である。

時宜を得た個人情報保護対策

　これまでの状況としては、消費者の信頼が揺らいでいるにもかかわらず、事業者が消費者の要求や不安に応えられないため、商取引、特に電子商取引の飛躍的発展はとうてい見込めない状況であった。しかし、今後、情報化がさらに進み、迅速に広範囲のマーケットが確立し、成長すると考えられたことから、基盤の整備としてのセキュリティ対策、個人情報保護の対策が求められていたのである。

　この法律の中で特徴的なものが、3点あると考えられる。それぞれ重要な変更を迫るものであるから、事業者は意を決して改善対策を実施しなければならない。以下その3点の特徴を説明する。

第1：安全管理措置義務（個人情報保護法　第20条）

　まず、特徴的なのが、安全管理措置という目新しい概念である。法文上あっさりと書かれているので、詳しくは経済産業省のガイドラインなどを参照することになるが、これらによれば、企業は安全措置として組織的対策、人的対策、物理的・環境対策、技術的対策といった側面から総合的な対策を実施することが求められている。

　こうした対策立案はISMS（情報セキュリティマネジメントシステム規格準拠対策）を実施している企業では十分認識されていると思うが、情報セキュリティ対策そのものとも言える部分なのである。

　組織的対策としては、個人情報保護責任者と、監査責任者を選定する必要があり、企業が組織として個人情報を安全に管理する仕組みを作らなければならない。監査もいい加減では済むはずもなく、監査対象と監査項目を明確にした監査の上で、その報告を代表者にして改善に利用しなければならない、といった連続する仕組みとして作られている。企業としては、必ずこうした責任者の設置など、組織的対策をしなければならない。そのほか、人的対策としては誓約書を取るなどして従業者にも自覚を持たせ、セキュリティ対策を実施することが求められる。また、計画的な教育や訓練の実施から間違えた理解をさせないよう、さらにはミスが起きないように緊張感を持たせる対応なども求められてくる。

　物理的環境対策とは、部屋の入退室管理や、ノートPCやUSBメモリなどの設置、施錠管理などを指しており、技術的対策としては、ウィルスチェック、ファイアウォール、そのほか、技術対策の実現が求められている。

　このように各企業には、実質的にISMSの実装と同じような、情報セキュリティ対策が求められるのである。

第2：監督責任（個人情報保護法　第21条、第22条）

　保護法では、2つの監督責任を定めている。従業者監督と委託先監督がそれである。従業者監督とは従業員だけではなく、役員や、派遣社員、出向スタッフなど事業に従事する者すべての監督をすることが事業者の責任となる、という趣旨だ。すべての従業者に対して、非開示合意や秘密保持契約を締結して、重要情報や個人情報などを安全に管理することをはじめ、人員配置と業務分掌を明確にする必要がある。

　さらに、最も重要な点となるが「事故を起こさない業務フロー」を確立すること。そのためには各種の業務フローや作業手順を見直してその結果である、精査されて安全に確立された業務フローや手順を文書化し、マニュアルとして従業者に示して遵守させることが重要になる。

　ちなみに、こうした手順書に従って業務が遂行されているかが、後に監査されることになるので注意していただきたい。

第3：開示請求等対応（個人情報保護法　第25条、第26条、第27条）