第1回 経営管理上の課題：企業がとるべき、個人情報保護対策（1/3 ページ）

企業として、個人情報保護法とどのように向き合っていけばよいのか？　重要性は理解していても、具体的にどのように対応をしていいのかが見えてこない。本シリーズでは具体的な個人情報保護対策を紹介していく。第1回目は経営管理上どのような課題があり、どのような対策が必要か解説する。

[佐藤隆，ITmedia]

　個人情報の漏えいトラブルが相次ぎ、ニュースで担当役員の報酬の一部がカットされ、経営陣の謝罪する姿が話題になったのは昨年の出来事である。個人情報保護に対して経営陣は、どこまで責任を求められるのかを問われている。もし情報漏えいが発生したら、企業に対する損失、経営陣はその責任をどこまで負うのか、予防・回避策はないのか、不安は尽きない。

　しかし、漏えい事件を調べていくと、経営陣の責任が問われないケースも発見できる。その違いはどこにあったのだろうか。まずは、個人情報の保護対策を推進する流れを通して、経営管理上に発見される課題を明らかにする。

第1ステップ：性善説から性悪説へ、セキュリティ意識を目覚めさせる

　経営陣は部門責任者に、部門責任者は部下へと責任と権限が委譲され、最終的には、従業員、派遣社員、アルバイトまで広がり、業務が進んでいく。そこには「相互の信頼関係が確立」されていなければ成立しない。その条件下では、企業の所有する個人情報が漏えいするケースは、泥棒のような第三者による持ち出しに警戒し、対策を講じれば良い。実際に多くの企業は、そのような安全の確保を行ってきた。しかし、最近発生している個人情報の漏えい事件では、社員、派遣社員といった企業の利害関係者、いわば身内による犯行が目立ってきている。

　彼らは、取り扱っている個人情報の価値を理解しており、建物や情報システムを経由してアクセスできる権限をすでに持っている。業務の遂行上、不可欠な権限を持つわけだが、見方を変えれば企業の内部事情に詳しく、個人情報を入手し、持ち出せる条件がそろっていると言い換えることもできる。経営陣にとって安全のよりどころである「相互の信頼関係」が崩れれば、個人情報が漏えいされる可能性が高まるのは当然だ。

　実際に事件は発生しており、他人事とは言えない企業も多いだろう。派遣社員やアルバイトの活用、社内の人材育成より経験者重視の中途採用などが理由に挙げられているが、人材の流動化を企業が止めることはもはやできない。このような状況に対し、経営陣は従業員に対する考え方を切り替える必要がでてきた。つまり、人はもともと善い行動をするとした「性善説」から「性悪説」への切り替えである。

　「弊社の社員を信じていた」という弁解では、顧客、取引先の理解は得られないと経営陣は理解すべきである。そして、部下に「性善説」を唱える従業員がいるなら、経営陣はセキュリティ意識の改革を実現させなければならない。そのために一般に企業では、次のような対策が行われている。