個人情報を読み解くキーワード
個人情報保護法で何が変わるのか? 2005/01/20

個人情報保護法の重要性はすでに認知していても、具体的に個人情報保護法がどのような法律なのか理解するのは、なかなか難しい。これから4回にわたって個人情報保護法を読み解いていく。


今年4月、個人情報保護法が全面施行されることで、各事業者に大きな影響があると言われている。この法律は事業者規制法となるため、行政が事業者を監督し、問題のある事業者を処罰する権限が与えられている。従って、事業者は法律の遵守を基本として、個人情報の取扱いを進めなければならないのである。

もともと個人情報保護は、個人の保護の目的を持つとともに、消費者の事業者に対する信頼を確保するという意図があった。そのため、法律やガイドラインを遵守して、安定的な運用を行う事業者には信頼が集まり、今後の事業活動が安定し、より強固なものとなる可能性を秘めているのである。

事業者としては、ほかの事業者との差別化を図り、「ごひいき」企業になる絶好のチャンスと言って良い。ここで信頼を得れば、以後自社にしかない情報を利用し、自社にしかできないサービスの提供が行え「One to One」として結ばれることになるからだ。

消費者の不安は、個人情報の漏えい

消費者がもっとも不安としているのが、事業者による個人情報の漏えいである。

以下「財団法人日本インターネット協会」のアンケート結果にもそのことがよく現れている。

次に、インターネットで個人情報を記入するに際に心配することについて複数回答で尋ねてみたところ、「特に何も心配しない」と答えた人はわずか27人で回答者数対比で見ると2%程度にとどまり、ほとんどの人が何らかの不安を抱いていることは明白である。とりわけ回答者のうち1032人(回答者数対比85%)が「提供した個人情報が目的外で使用されるのではないか」と感じており、その他の選択肢と合わせても回答者の多くが「提供先からの人為的な情報漏洩」を心配していることが分かった。一方、「ウェブサイトのセキュリティ上の欠陥で個人情報が流出しないか」と答えた人も956名(回答者数対比78%)にのぼり、人的な情報漏洩と同等の不安を抱いていることが伺える。

出典:財団法人日本インターネット協会ホームページ(2004年4月30日付)より

インターネット協会の説明にもあるように、回答者数1214人に対して1032人の回答者(85%)が個人情報の目的外利用を心配し、漏えいを心配する人が956名(78%)に上っている。いずれにしても圧倒的な人々が、事業者を信用できず、不安を抱えているという事実がはっきりと見て取れる。

事業者の安全対策も心もとない状況に

では、事業者の体制はどうなのだろうか。果たして安全な体制が取れているのだろうか。ここにも興味深い調査結果があるので紹介しておこう。

企業の情報セキュリティに関するアンケート - 結果報告 「内部からの情報漏えい対策について」の回答 出典:コンピュータ・アソシエイツ

この結果からは、ほとんどの企業では、個人情報を含む情報漏えい対策が行えていない実態が見えてくる。調査の時期が2003年9月であるため、現在ではもう少し対策が進んでいるようにも思えるが、いずれにしても、事業者側の対策が遅れていることは顕著である。

時宜を得た個人情報保護対策

これまでの状況としては、消費者の信頼が揺らいでいるにもかかわらず、事業者が消費者の要求や不安に応えられないため、商取引、特に電子商取引の飛躍的発展はとうてい見込めない状況であった。しかし、今後、情報化がさらに進み、迅速に広範囲のマーケットが確立し、成長すると考えられたことから、基盤の整備としてのセキュリティ対策、個人情報保護の対策が求められていたのである。

この法律の中で特徴的なものが、3点あると考えられる。それぞれ重要な変更を迫るものであるから、事業者は意を決して改善対策を実施しなければならない。以下その3点の特徴を説明する。

第1:安全管理措置義務(個人情報保護法 第20条)

まず、特徴的なのが、安全管理措置という目新しい概念である。法文上あっさりと書かれているので、詳しくは経済産業省のガイドラインなどを参照することになるが、これらによれば、企業は安全措置として組織的対策、人的対策、物理的・環境対策、技術的対策といった側面から総合的な対策を実施することが求められている。

こうした対策立案はISMS(情報セキュリティマネジメントシステム規格準拠対策)を実施している企業では十分認識されていると思うが、情報セキュリティ対策そのものとも言える部分なのである。

組織的対策としては、個人情報保護責任者と、監査責任者を選定する必要があり、企業が組織として個人情報を安全に管理する仕組みを作らなければならない。監査もいい加減では済むはずもなく、監査対象と監査項目を明確にした監査の上で、その報告を代表者にして改善に利用しなければならない、といった連続する仕組みとして作られている。企業としては、必ずこうした責任者の設置など、組織的対策をしなければならない。そのほか、人的対策としては誓約書を取るなどして従業者にも自覚を持たせ、セキュリティ対策を実施することが求められる。また、計画的な教育や訓練の実施から間違えた理解をさせないよう、さらにはミスが起きないように緊張感を持たせる対応なども求められてくる。

物理的環境対策とは、部屋の入退室管理や、ノートPCやUSBメモリなどの設置、施錠管理などを指しており、技術的対策としては、ウィルスチェック、ファイアウォール、そのほか、技術対策の実現が求められている。

このように各企業には、実質的にISMSの実装と同じような、情報セキュリティ対策が求められるのである。

第2:監督責任(個人情報保護法 第21条、第22条)

保護法では、2つの監督責任を定めている。従業者監督と委託先監督がそれである。従業者監督とは従業員だけではなく、役員や、派遣社員、出向スタッフなど事業に従事する者すべての監督をすることが事業者の責任となる、という趣旨だ。すべての従業者に対して、非開示合意や秘密保持契約を締結して、重要情報や個人情報などを安全に管理することをはじめ、人員配置と業務分掌を明確にする必要がある。

さらに、最も重要な点となるが「事故を起こさない業務フロー」を確立すること。そのためには各種の業務フローや作業手順を見直してその結果である、精査されて安全に確立された業務フローや手順を文書化し、マニュアルとして従業者に示して遵守させることが重要になる。

ちなみに、こうした手順書に従って業務が遂行されているかが、後に監査されることになるので注意していただきたい。

第3:開示請求等対応(個人情報保護法 第25条、第26条、第27条)

今回初めて規定されたものには、開示請求、訂正請求、利用停止請求というものがある。本人(情報提供している消費者のこと)であれば誰でも事業者に対して、こうした請求をすることができるようになるのだ。つまり事業者が持っている情報(保有個人データと呼ぶ)の開示や、訂正を求めることができるというものだ。事業者はこうした請求がいつくるかわからないので、いつでも迅速に対応できるよう体制を整えておかなければならない。

特に難しいのが本人確認という作業だろう。すなわち、他人の情報を開示した場合、情報漏えいとして批判されるため、必ず本人であることを確認し、当該本人の情報を開示するようにしなければならないのだ。本人確認の方法は実は大変難しく、統一した方法はない。ただ、書面で請求してもらい、かつ、本人確認書類の写しの添付をお願いするのが最も安全と言われている。住民票などを添えてもらえば、それに従って処理すればいいのだから、間違えることがないというわけだ。

事業者はどこまで対応すべきなのか

現在の事業者の悩みは、どこまで対応すべきか、つまり「法律が変わったことはわかった。しかし、すべてをやれと言ってもそれは無理だ」という点になる。それは「出来ることからだけやりたいが、どうしたら良いのか知りたい」といった要望とも言える。

大きな声では言えないが、出来もしないことをやるように求めてもしかたのない。何から始めるかを明確にしていくのが最善の方法である。ただし、法律の基準は最低基準となるため、すべて充足するように頑張るとして、次にやるべきことを順次挙げてみよう。

まず、何よりも初めにすべきことは、パスワードの厳格な管理の実施である。これまでの事故例を見ると、そのほとんどがパスワードの管理ミスや従業員の悪用といった内容になっている。従って、何よりも初めに手を付けたいのがパスワード管理になる。

2番目はノートPCやUSBメモリなどの管理である。落としたり、盗まれたという事故実例がとにかく多数報告されている。また、会社から自宅へ持ち帰った際に事故を起こすというケースが何度も報告されている。それにもかかわらず、いまだに重要書類、重要データを持ち帰るという間違いが繰り返されている。早急にルールを作り、記憶端末やノートPCの持ち出し、自宅への情報の持ち出しを徹底して規制管理していただきたい。

3番目はごみの処理が挙げられるであろう。個人情報が記載された書類を可燃ごみとして出してしまったり、シュレッダーもかけずに捨ててしまう事故も無視できないほど多発している。コピー用紙の破棄処分の際には必ずシュレッダーをかけるルールを作らなければならない。

4番目は電子メールの誤送信やファックスの送付ミスへの対策である。この事故は、起きてすぐ発覚するもので、否定しようのないミスとなる。こうしたミスが起きないように二重三重の対策が求められる。電子メールの場合、発信する前に警告表示が出る設定にすることができる。また、ウイルス対策ソフトにもこうした警告表示を出す仕組みがあり、大変有効に使えるはずである。重要なのは送り先が表示され、確認できることだ。ファックスに関しては重要情報などを送る際に、受信相手が電話に出たのを確認してその場で送るという「ウエイティング・ルール」を採用するのが効果的だ。要は昔のファックス送信システムのことである。こうした手順を踏むことで、送付ミスはほとんど確実に防ぐことができるはずである。

こうした点を重点的に検討してみていただきたい。

牧野二郎(牧野総合法律事務所)プロフィール

1953年生まれ、中央大学法学部卒業。弁護士。法的側面からのセキュリティ対策サービス、電子署名制度による安全な取引を実現するためのリーガルサービスの提供に特化し、制度整備を通して、情報社会のあり方、自己実現の方法など、積極的なかかわりを提言している。

最近の主な著書:『企業情報犯罪対策入門』(インプレス)、『即答!個人情報保護』(毎日コミュニケーションズ)