個人情報保護法の全面施行から4ヶ月経って/岩本 元

1.情報漏洩事故の発生状況

 今年の4月に個人情報保護法が全面施行されてから早くも4ヶ月が経過しました。その間、ほぼ毎日、情報漏洩事故が新聞・TV・インターネット上のニュースとなっています(文末の紹介サイトを参照)。これは予想よりかなり多い件数であり、個人情報保護法がこれまでは不明瞭だった事故を明確にしたと言うことができます。個人情報保護法は企業または団体に対して事故の一般公開を義務づけていませんので公開はあくまで企業の自主判断となりますが、企業の活動に透明性が求められている近年の時勢では、個人情報保護法で問題とされる事故を公表しないと顧客や株主に見放される可能性があります。よく言われることですが、情報セキュリティは経営上の重大な問題であり、企業の社会的責任(CSR)となっています。事故の多くは大企業や官公庁によって公表されていますが、中堅中小企業においても公表されない、規模のあまり大きくない事故が高頻度で発生していると考えられます。

2.情報漏洩事故の原因と規模

 事故の原因を見ると、社外におけるパソコンや書類の盗難・紛失、社内における電子データや書類の行方不明(多くの場合は誤って廃棄したとされる)、ウィルスへの感染(ウィルスが勝手に情報をインターネットに送出する)、メールやFAXの誤送信や郵便の宛先取り違え、不適切なゴミの廃棄(個人情報を含む文書の入ったゴミ袋を放置)、故意による情報流出など多岐多様です。特に多いのは、車上荒らしや置き忘れなどによって、社外でパソコンや書類が盗難されたり紛失するケースです。映画に出てくるような、高度な技術を持つハッカー(またはクラッカー)がインターネットから企業に不正侵入してデータを盗み出すという事故はほとんど起こっていません。海外では、詳細は公開されていませんが、米国のクレジットカード決済データ会社において、昨年9月から今年5月に掛けてクレジットカードの情報が最大20万件(うち、日本国内分7万件)盗まれた事件が大きく報道されたことは記憶にあたらしいと思います。
事故の規模を見ると、件数としては数件から数万件に渡っており、含まれる情報の種別としては名前だけというケースから、名前と住所・電話番号を含むケース銀行の口座番号・納税額・過去の買物の履歴まで含むケースまで様々です。またパソコンや携帯端末の紛失・盗難の多くは、ハードディスクや電子ファイルに暗号化対策が施されており読み取ることができないというケースです。どのような被害のケースであれば公表すべきか、所管省庁(一般企業の場合、通常は経済産業省)に届けるべきかについては今後の議論が待たれます。

3.今何をすべきか

 個人情報保護法への対応については、全面施行の4月直前に盛んに言われました。このコラムでも、2月28日に「個人情報保護法対策直前チェック」が掲載されています。この4ヶ月間で発生頻度の高い事故の原因を考えると、以下のような対策が、職場ですぐに実践できるものとして有効であることがわかります。

(1)情報の持ち出しの管理
 紙文書・電子データ・パソコンは社外に持ち出さない。業務上持ち出さざるを得ない場合には、最低限のものを常時携帯する。個人情報などの重要情報を持っているときは、飲みに行かない・寄り道しない。パソコンに起動パスワードを掛ける。ハードディスクを暗号化して抜き取っても読めないようにする。自宅のパソコンに会社のデータは絶対に入れない。

(2)情報の廃棄の管理
 重要書類はシュレッダーに掛ける。フロッピーディスクなどの電子媒体にはハサミを入れるなどで壊す。パソコンのハードディスクは専用ソフトで消去するか実績のある廃棄サービスを利用する。

(3)OA機器の利用時の注意
 FAX送信時には宛先に間違いが無いかを必ず確認する。コピー機・FAX・プリンターに書類を放置しない。

 上記の事項は、業務委託などで重要情報を渡すことのある、子会社に対しても実践させましょう。全社で総合的な対策を実施したり、すでにとっている対策を見直す場合には情報セキュリティの専門家に相談すべきです。ITコーディネーターの中にも情報セキュリティを得意分野とする人が多くいます。
また、社外の事故事例を社内で紹介したり、自社の場合に当てはめて未然防止対策を検討するのも有効だと思います。その点で残念なのは、公開されている事故では企業が受けた(と予想される)損失や責任者に対する処罰内容が、官公庁を除いてほとんど公表されないことです。企業および社員の受けた損害を紹介すれば、他社事例でも真剣に捉えることができます。企業または団体に対する罰則が定められているが、情報漏洩を引き起こした当人に対する罰則が規定されていないことが、現在の個人情報保護法の欠点として指摘されており、法改正が検討されています。

(情報漏洩事故の紹介サイト)
月刊情報セキュリティ: http://www.monthlysec.net/
保険ドットコム~個人情報漏洩事件:
 http://www.it-hoken.com/cat_aeieoieioeie.html


■執筆者プロフィール

岩本 元(いわもと はじめ)
 ITコーディネーター
 情報処理技術者(システム監査、プロジェクトマネージャ)
 企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築
 企業間電子データ交換の支援
お問合せ先:iwamoto.hajime@zeus.eonet.ne.jp