個人情報保護法がもたらすビジネスへの影響は情報マネジメント トレンド解説(3)

2003年半ばからIT業界で盛んに使われるようになったキーワードに「Enterprise Architecture(EA)」がある。EAが目指しているのは、業務プロセスにのっとってシステムを最適化するというフレームワークだ。情報マネージャにとって、EAはどのような意味を持つのか

» 2003年12月19日 12時00分 公開
[垣内郁栄,@IT]

個人情報保護法の定める内容

 さまざまな議論を経て2003年5月に成立した個人情報保護法関連5法が、2005年4月にも全面施行される。これまでルールが明確でなかった企業の個人情報の取り扱いが法律で決められることになり、違反した企業には罰則が科せられる。以下に個人情報保護法の概略を紹介する。

個人情報保護法の骨子

  • 個人情報の利用目的を特定。利用目的を超えた個人情報の取り扱いの原則禁止
  • 個人情報の安全管理のために必要かつ適切な措置、従業者・委託先に対する監督
  • 本人の同意を得ない個人情報の第三者提供の原則禁止、委託、合併等の場合、特定の者との共同利用の場合(共同利用することを通知している場合)は第三者提供とならない
  • 本人の求めに応じ、保有する個人情報の開示、訂正、利用停止の義務
  • 個人情報の取り扱いに関する苦情の適切かつ迅速な処理・規定に違反すると6カ月以下の懲役または30万円以下の罰金など

 個人情報保護法は、個人情報をデータベースなどに保存している「個人情報取扱事業者」に対して個人情報の適正な取り扱いを求める法律。個人情報とは氏名、住所など個人を特定できる情報。5000件以上の個人情報を保有し、事業に利用している企業が規制の対象となる。電子情報、紙の情報とも検索できる状態になっていれば対象とされる。行政機関も同様だ。

 個人情報保護法の施行後、企業は顧客から個人情報を取得する際に、その利用目的を明確にする必要がある。例えばEコマースサイトが商品購入者から個人情報を取得する場合、商品の配送目的のために取得した個人情報を、顧客に伝えずにダイレクトメールの送付に利用することは禁じられる。また、取得した個人情報を他社に勝手に渡すことも禁止。マーケティング活動などで複数の会社が個人情報を取得する場合は、関係するすべての会社名で顧客に対して承諾を得る必要がある。

 顧客は企業に対して個人情報の公開を求めることができる。公開された個人情報が事実と異なる場合は訂正や削除を要求可能。個人情報保護法の規定に違反した企業には、所管官庁の「主務大臣」が6カ月以下の懲役または30万円以下の罰金などの処分を科す。

プライバシー侵害におびえる消費者は約8割

 個人情報保護法が施行される背景には、企業による個人情報の取り扱いに対する消費者の不安がある。内閣府が2003年12月に発表した「個人情報保護に関する世論調査」(成人男女3000人が対象、有効回収率70.9%)では、「最近個人情報の利用に関係したプライバシー侵害が増えたと思う」と答えた人は全体の62.7%。前回1989年の調査では57.7%で、消費者の間で企業の個人情報取り扱いに対して不安が広がっていることが分かる。また、個人情報の利用に関係したプライバシー侵害が今後どうなるかの質問に対しては、「多くなりそうだ」が78.4%と高い割合を占める。

 コンピュータを使った個人情報の取り扱いについては、「さらに不安」と感じる消費者が多い。コンピュータによるプライバシーの侵害が、今後多くなると答えた人は82.2%。前回調査の75.1%から大きく増加した。「現在と変わらないだろう」と答えた人は7.1%、「減るだろう」とする人は1.0%しかなかった。コンピュータのミスで請求金額などが間違って処理されているのではないかと不安を感じる人も多く、全体の58.4%を占めた。個人情報の目的外利用や、他者への流出についても半数強の人が不安を感じている。

個人情報の取り扱いフローの整備が急務

 企業は個人情報を取り扱うために何に気を付ければいいのか。最も重要なのは個人情報の取り扱いの流れをきちんと把握できるようにすることだ。セキュリティポリシーの策定はもちろん、どのチャンネルから個人情報を取得して、どのように処理し、どこに保存するのか企業内でルール化する必要がある。

 具体的な対策としては、「技術」と「管理」の2つの側面から個人情報を考える必要がある。技術とは、例えば認証技術や暗号化技術を用い、情報へのアクセス制限をかけるといった取り組みだ。また管理とは、組織として個人情報の取り扱いルールやフロー、役割による権限をきちんと定めるといった体制作りを指す。特にいまの企業に欠けているとされているのが後者だ。情報の取り扱い方やフローについて、明確なポリシーを打ち出していない企業が多い。特にコンシューマー系商品を扱う会社などは、「各販売拠点や小売店、本社内の営業部署に顧客情報が散在しており、誰がどう管理しているのか分からない」といった課題を抱えている。経営層や情報システム部門、あるいはセキュリティ担当者が率先し、全社/全グループで明確なポリシーを定める必要がある。ではそのポリシーをどうやって定めるか。

 現在、セキュリティポリシー策定のためのガイドラインとして運用されている制度に「ISMS(Information Security Management System)」がある。ISMSは組織のセキュリティ管理体制に重点を置いた評価認定制度で、国際標準である「ISO/IEC17799」に準拠し、企業側に情報の取り扱いに対する恒常的なリスクマネジメントを求めている。ISMSの監査役にはコンサルティング会社や会計監査事務所などが乗り出しており、こうした専門家に相談してみるのも一手だ。

 また特に注意したいのはプロセスの一部を外部委託している場合だ。企業から個人情報が流出したケースの多くは、アウトソーシング先の企業から流出している。本社のセキュリティレベルが高くても、アウトソーシング先が個人情報をずさんに取り扱っていれば無意味。また、システム開発を受注したシステム・インテグレータが開発を下請け、孫請けに出すことも多く、監視をより難しくしている。個人情報が流出した場合、流出させたのがアウトソーシング先やシステム・インテグレータの下請けでも、報道などで名前が出るのは外注元、発注元の企業。社会的信用を失い、消費者から損害賠償を請求されることになりかねない。企業は外部との情報の流れを明らかにし、機密保持契約を厳密に結ぶ必要がある。

「情報マネジメント トレンド解説」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ