個人情報保護法が4月1日、全面施行された。事業者に対し、個人情報漏えい、不正入手などの防止義務を課し、情報を本来の目的以外に利用することや本人の同意なしに第三者に提供することが原則的に禁止される。同法に対する関心は高い。あちこちの書店では、同法の関連書コーナーが設けられ、事実、一部の解説書はベストセラーランキングの上位にある。だが、実際、どれほど理解が進んでいるのか。特に、企業内で実務に携わる場合の心構えはどうか。

IDGジャパンが主催した「個人情報保護法 最終対策フォーラム」で講演した、同法に詳しい牧野二郎弁護士は「基本的観点で間違いがはびこっている」と言い切る。「重要なのは、現場の作業を改善することだ。ISMS(Information Security Management System)やPマーク(プライバシーマーク)をとっている企業でも、情報が漏れる事故は起きている。それは、業務の改善ができていないからだ。事故がおこった原因、対策を明確にしていなければ、何度でも同じことが起きることになる」と警鐘を鳴らしている。

ISMSは、企業などの組織が正しく情報を管理し、機密を保持するための包括的な枠組みで、日本情報処理開発協会(JIPDEC)が「ISMS適合性評価制度」を運用、企業の情報管理、機密保護が国際標準ISO/IEC 17799に準拠していることを認証する。認証された企業は、情報管理に正当に取り組み、機密保護に務めている、と認められる。プライバシーマークは、「JIS Q 15001」 に準拠して、個人情報を適切に保護する体制を整えた企業に対し、JIPDECが評価を認定する制度だ。

では、業務のあり方を改めるとはどのようなことなのか。牧野弁護士は「それぞれの現場での、個人情報の扱い方と、作業の手順をはっきりと決めておくべきだ」と指摘する。たとえば、アンケート調査を実施したような場合、調査対象となった個人の情報がアンケート用紙に記されていれば、それらは、データベースに入力した後、処分されなければならないのだが「集計する過程で、データはあちこちのパソコン内に残っている。几帳面な人の中には、バックアップをとるためUSBフラッシュメモリを使う人もいる。こうなると、情報漏えいの事故があったとしたら、どこから漏れたかわからなくなる。データがサーバーに収容されたら、同じデータが他にないかチェックし、あればすべて消去、それをサーバーの管理者が確認したら、押印した記録を残す。そのようなことが業務フローとして確立しているかどうか。こうした手順を決め実践すれば、相当効果がある」(牧野弁護士)。

このような慣行は、企業にとって、個人情報の問題に留まらない意義があるという。「(どんな企業でも)監査が十分でないと腐敗現象が起きる。コンプライアンス(企業活動をするうえで、法令、規範を遵守すること)のある企業は、業務を曲げられないよう、原簿が書き換えられないにしている。取締役会で経営陣の発言、行動すべて証拠を残す。一つ一つ指差して確認するような、絶対偽造させないというような手順をつくっておけば、業務は透明化され、監査がしやすくなる」(同)からだ。

従来、監査はヒヤリングが中心だったが「これでは現場の実態は出てこない面もある。それぞれの職場の専門家に、1-2時間レクチャーを受けても、完全に理解することは困難で、彼らに対して、何か隠しているだろう、などと指摘することはできない」(同)という状況が背景にある。

手順を作成するには「業務上の禁止事項と義務を項目化して規範集を作成し、業務フローに盛り込めばよい。情報漏えい防止策として、従業者を監督することが挙げられているが、"監督"というのが、人が人を見張っていることだとすれば、作業要員のほかに見張り要員が必要になり、生産性が落ちることも考えられる。人を監視するよりは業務そのものを見張ることが重要だ」(同)。

同法では外部委託先の監督もしなければならないと規定しているが「部下の監督ですら完璧にするのは難しいのに、外部の監督など不可能に近い。だが、ひとつだけ解がある。それは、アウトソーシングする場合、自社よりもセキュリティ対策の水準が高いと認められる企業に任せることだ。自社の業務手順指針を策定した責任者が、相手先の業務フローの状況を聞いてみれば、どの程度の水準かがわかる。その結果で、アウトソーシング先を決める。前提条件はセキュリティを優先し、次いでコスト、という委託先制定基準をつくるべきだ」(同)。

情報漏えいの事故が起きれば、企業にとっては、これまでにもましてさまざまな、また大きな打撃となる。たとえば、お詫び料を払うことになった場合、その額、時期も問題になる。「ある企業では、払った時期が事件発生時から間があったため、またやったのか、とみられてしまったことがあった。また、お詫び代を500円とした企業があるが、被害者から、自分の個人情報の価値はその程度なのか、と反発された例もある」(同)。

これらの失態は株価にも影響することがある。経済的損失は膨大になるが、それだけではない。牧野弁護士は「自社が事故を起こしてはいけないのは当然だが、コスト重視で委託先を選び、その企業が事故を起こしたら、委託した企業もずさんだといわれることになり、コンペの対象からはずされ、その企業は社会的信用を失う」と強調している。

必要なのは「まず、規範を高めるルールを決め、処罰を定めること」(同)だ。こうした状況のもと、いわゆる性悪説を採っている企業もあるが、牧野弁護士は「人間は弱いもの、という『性弱説』に立ったほうが良い。人は必ずミスをするものであり、システムがそれを防ぐ。認証しなければ、システムが起動しないようにしたり、データ暗号化などの工夫が必要だ」として、人とシステムの両輪が十分に回転してこそ、危機を回避できる、と主張する。