企業がとるべき、個人情報保護対策
第1回 経営管理上の課題   2005/01/20
企業として、個人情報保護法とどのように向き合っていけばよいのか? 重要性は理解していても、具体的にどのように対応をしていいのかが見えてこない。本シリーズでは具体的な個人情報保護対策を紹介していく。第1回目は経営管理上どのような課題があり、どのような対策が必要か解説する。

 個人情報の漏えいトラブルが相次ぎ、ニュースで担当役員の報酬の一部がカットされ、経営陣の謝罪する姿が話題になったのは昨年の出来事である。個人情報保護に対して経営陣は、どこまで責任を求められるのかを問われている。もし情報漏えいが発生したら、企業に対する損失、経営陣はその責任をどこまで負うのか、予防・回避策はないのか、不安は尽きない。
 しかし、漏えい事件を調べていくと、経営陣の責任が問われないケースも発見できる。その違いはどこにあったのだろうか。まずは、個人情報の保護対策を推進する流れを通して、経営管理上に発見される課題を明らかにする。


第1ステップ:性善説から性悪説へ、セキュリティ意識を目覚めさせる
 経営陣は部門責任者に、部門責任者は部下へと責任と権限が委譲され、最終的には、従業員、派遣社員、アルバイトまで広がり、業務が進んでいく。そこには「相互の信頼関係が確立」されていなければ成立しない。その条件下では、企業の所有する個人情報が漏えいするケースは、泥棒のような第三者による持ち出しに警戒し、対策を講じれば良い。実際に多くの企業は、そのような安全の確保を行ってきた。しかし、最近発生している個人情報の漏えい事件では、社員、派遣社員といった企業の利害関係者、いわば身内による犯行が目立ってきている。
 彼らは、取り扱っている個人情報の価値を理解しており、建物や情報システムを経由してアクセスできる権限をすでに持っている。業務の遂行上、不可欠な権限を持つわけだが、見方を変えれば企業の内部事情に詳しく、個人情報を入手し、持ち出せる条件がそろっていると言い換えることもできる。経営陣にとって安全のよりどころである「相互の信頼関係」が崩れれば、個人情報が漏えいされる可能性が高まるのは当然だ。
 実際に事件は発生しており、他人事とは言えない企業も多いだろう。派遣社員やアルバイトの活用、社内の人材育成より経験者重視の中途採用などが理由に挙げられているが、人材の流動化を企業が止めることはもはやできない。このような状況に対し、経営陣は従業員に対する考え方を切り替える必要がでてきた。つまり、人はもともと善い行動をするとした「性善説」から「性悪説」への切り替えである。
 「弊社の社員を信じていた」という弁解では、顧客、取引先の理解は得られないと経営陣は理解すべきである。そして、部下に「性善説」を唱える従業員がいるなら、経営陣はセキュリティ意識の改革を実現させなければならない。そのために一般に企業では、次のような対策が行われている。
「情報セキュリティ基本方針(セキュリティポリシー)の策定、表明」
 企業が情報セキュリティに対する考え方を定め、表明する文書を策定する、そこには経営陣による意思表明がなされている。当初そこには企業が所有する情報資産を保護する漠然とした形で記述されていたが、個人情報の取り扱いが注目されるに至り、個人情報保護に対する表明が追加され、従業員とのセキュリティ意識の徹底を行うようになった。
「倫理要領(コンプライアンスガイドライン)の作成、実施」
 法令を遵守し、組織の一員としての行動規範を定めた社内の規定。違反した場合は、罰則の適用対象となる。業務上の機密、インサイダー取引の禁止、知的所有権の保護以外に、個人情報の取り扱いを盛り込んでいる。「倫理行動規範」や「コンプライアンス規程」など企業によって名称が異なる。
「個人情報保護指針(プライバシーポリシー)の策定、公開」
 組織が個人情報の取り扱いに対して対外的に表明することを意識して作成するものであり、基本方針から個人情報に関する問い合わせ窓口までが記述されている。インターネットのホームページに公開することによって、従業員にも個人情報取り扱いに対し管理の徹底が求められることになる。企業間取引が中心の企業より、不特定多数の個人顧客を対象とする企業で策定されている。
 「企業を取り巻く変化に応じて危機感をもっているのか」、「従業員に対して個人情報の保護に対する明確な意思を伝えているか」、「そして、株主、顧客、取引先に個人情報保護に対する指針をはっきり伝達しているか」、経営陣にとってはこれが最初の課題となる。

図1■業務目標の伝達フロー


第二ステップ:個人情報保護に対する責任と権限を追加する

 経営者が意思を表明したら、確実に個人情報保護の実現に向けて進めていくことが求められる。倫理要領やプライバシーポリシーを導入してから個人情報が漏えいすれば、企業への信頼に影響を及ぼす可能性があるからだ。過去に、ある企業Aで個人情報を記録する媒体が紛失される事件が起きた。その企業Aは、企業Xグループの関連会社で、企業Xが定めた個人情報保護指針に基づいて第三者の認定機関による認定を受けていた。この時、紛失した企業Aの認定取り消しのおよぶ影響が、企業Xグループの関連企業にも波及し、すべての関連会社が自治体へ入札できなくなる事態に発展しかけたことがあった。
 幸いにも最悪のケースは免れることができたが、教訓とするなら、「個人情報が漏えいした場合、親会社、系列企業に影響を及ぶ危険性がある」ということだろう。そのためには、個人情報の管理に対する責任と権限を明確にすることが肝心である。経営陣が決定した事業計画に基づいて、各部門責任者に業務上の実現目標、達成するための権限が責任を伴って委譲される。以下例を示す。
表1●個人情報の保護項目が抜けている業務目標、権限、責任

達成目標

○○業界に対し、XXX件の新規顧客を開拓すること
既存顧客を維持すること
顧客満足度を向上させること

権限

営業活動予算XXXX万円に関する決済権限を与える
部下2人を増員し、計○○人に営業の管理権限を与える

責任

営業活動に関する全責任
部下に対する管理責任

 経営上指示される項目や内容としては、個人情報保護に関する責任が記述されていないので不十分である。そこで、責任の項目を追加する必要がある。例えば、「営業活動に関わる個人情報の管理」とし、社内の個人情報管理体制を見直し、「○○部 個人情報管理担当」と任命し、具体的な内容は別途定めるやり方もある。
 個人情報の管理に関する権限や責任が明記されていないと、2つの問題が起きる可能性が出てくる。最初の問題は、各業務レベルや職位の段階から個人情報の保護に気を配らなくなることだ。経営者やマネジャーの視点では何も発見できなくても、責任を与えた担当者ならば、個人情報が漏えいされる兆候に気を配り、予防できることもある。指示された業務だけを行い、周囲に注意を払わないことは避けたい。
 もう一つの問題は、個人情報に関する漏えいが発生すれば、個人情報に関する責任を負える者が不在になることである。もしも入手経路が不明で、管理責任者も不在の上で個人情報が漏えいすれば、その責任は最終的に会社が負うことになる。まずは、企業の情報資産の「たな卸し」を行って、個人情報を洗い出し、必要な管理責任、権限を追加することが望ましい。


第三ステップ:個人情報の管理状況を報告する場を設け、積極的に参加する
経営者は部下に指示を出したら、個人情報が適切に保護されているか現状を監視し、必要に応じてコントロールしていかなければならない。そのためには、個人情報の管理状況の報告書を受けるだけでは不十分である。管理現状を報告する場に参加し、必要に応じて指示できる積極的な参画が求められる。経営管理上の責任が問われたケースを見ていくと、報告される場(会議)が存在しない、管理状況が報告されていない、経営陣からのコメントがない、などが確認できる。これを逆にとらえれば、経営陣が責任を問われないポイントとも言える。
 個人情報の管理状況の報告を定期的に受けることは最初は面倒に思えるが、これは個人情報保護対策を上手に構築し、軌道に乗せるコツでもある。最初は報告する期間を1カ月ごとに設定し、経営陣の積極的な参加によって管理態勢を構築、運用させていく。個人情報の状況把握が確実になり、順調に機能していけば、2〜3カ月間隔にして定着化させればよい。
 また、管理状況を把握する場の設定は、保護対策の進捗管理以外にも新たな情報技術動向、漏えい防止に関する監査手順のあり方など、情報交換としても有効に機能させることができる。もちろん、漏えい事件が発生した時には、こうした活動は重要な証拠にもなる。個人情報が漏えいした企業では、事件発生後に外部の専門家を含めた専門委員会を設置して解決にあたっていくことが多い。その時に、経営陣がどの程度関与していたかは、個人情報の管理状況を報告する場の資料があれば、経営陣としての責任が問われる可能性は低くなる。
 ある商品をインターネットで予約販売した企業のホームページで、予約した顧客情報が漏えいする事件があった。この時は、担当部門責任者(管理職)による謝罪が行われたが、経営陣までは責任が問われなかった。経営管理面から個人情報をどのように掌握しているか、その活動と記録が企業の個人情報の取り組みを証明したのである。
 最後に、経営管理面から、個人情報の保護対策が十分か否か判断するチェックポイントを挙げる。


・ 経営陣は、個人情報の保護に対する重要性を認識していますか
・ 個人情報の保護に関する指針が社内、社外の文書(規程、ガイドライン)が存在しますか
・ 業務を遂行する目標、責任、権限に個人情報に関する事項が含まれていますか
・ 個人情報に関する責任者が部署ごとに任命されていますか
・ 個人情報の管理状況を把握する会合が存在し、経営陣は積極的に参加していますか