これだけは知っておきたい 実践!個人情報保護法 田邊 氏

個人情報とは?

 「個人情報は誰のもの?」 皆さん、個人情報とはどういうものかご存知ですか?
 簡単に言いますと、名前が、まず、挙がってくると思います。それから、住所、電話番号、生年月日。最近では、携帯番号とか携帯のアドレスが個人情報になっております。
 個人情報は、生存する個人に関する情報であって、特定の個人を識別できる情報のことです。ひとつの情報だけでは個人を特定するに至らない情報でも、 容易に手に入るほかの情報と組み合わせることで個人を特定できるようなものも個人情報に含まれるので、注意が必要になります。
 具体的には、次のような例が個人情報といえます。本人の名前、生年月日、住所、電話番号、会社における職位や所属、防犯カメラに記憶された情報など、 本人が判定できる映像情報ということです。下の方にメールアドレスが書いてありますが、「普通のメールアドレスは情報になるの?」と思われるかもしれませんけど、 ご本人のお名前を使って登録してあるメールアドレスであれば、「あっ、この人はあの人だ」というのが分かりますので、個人情報になってしまいます。 これは一般の個人情報です。

 次に、基本情報ですが、企業間には情報というのもがあり、センシティブ情報というのがあります。 これは、機微な情報に入りますが、金融、資産関連、身体特性とか、学歴とか性格判断とか、結婚歴とか。また、ハイセンシティブな情報というのは、 医療なので、特に他人には知られたくない情報になってきます。
 では、自分の個人情報は、いくらぐらいで売られていると思われますか?
 大体、1人の情報は、1円からになっております。金融とか、銀行とかの情報になると、ちょっと情報が高く売れますので、架空の口座番号とかを持っている方とかは、 2万円。情報の内容によって、値段が変わってきます。「自分の情報が1円で売られているのかな?もしかしたら漏れているのかな?」と思ったときには、 ちょっと怖いという感じがしますね。

個人情報保護法ができた背景

個人情報保護法が登場した背景には、情報化の発展に伴う「個人情報利用の増加」と、不正利用や情報漏えいの急増という 「個人情報の取り扱いに対する社会的な不安感の広がり」があります。コンピューターの処理能力の向上により、多量のデータ処理が可能となり 、企業が顧客データをコンピューターに蓄積してデータベース化することにより、様々な目的のために二次利用することができるようになりました。 また、コンピューターが、インターネットを含むネットワークとつながることにより、購買履歴などのデータがリアルタイムで蓄積され、 企業がより詳細な個人情報を把握することが可能になったということです。
 一方では、個人情報の漏えい事件が後を絶たず、個人情報の取り扱いに対する、社会的な不安感は日々増大しております。デジタルデータ化された個人情報は、 紙媒体と比較して複写が容易であり、ネットワーク経由であれば外部に送信可能なので、一度流出してしまった個人情報を完全に回収することは難しくなっています。

個人情報保護の義務(ルール)
  1. 個人情報を収集する際には、利用目的を明確にしなければならない。
  2. 目的以外に利用する場合には、本人の同意を得ないといけない。
  3. 個人情報を収集する際、利用目的を通知、公表しなければならない。
  4. 情報が漏えいしないよう対策を講じ、従業員だけではなく委託業者も監督しなければならない。
  5. 個人の同意を得ずに第三者に情報を提供してはならない。
  6. 本人からの求めに応じ、情報を開示しなければならない。
  7. 公開された個人情報が事実と異なる場合、訂正や削除に応じなければならない。
  8. 個人情報の取り扱いに関する苦情に対し、適切、迅速に対処しなければならない。

 このルールを守らない場合は、主務大臣から勧告、中止命令があり、命令を違反した場合は、6カ月以下の懲役または30万円以下の罰金が科されます。

情報漏えいの現象と原因

 情報漏えいの現象を分類すると、「保管情報の流出」「インターネットによる流出」「内部管理、監視体制の不備及び未構築」が挙げられます。
 国内企業のセキュリティー対策は、約8〜9割の会社がシステム対策を行っており、制度的な対策については約7割の企業で実施されているという結果が出ています。 しかし、社員などに対する対策は、約半数にも満たないということです。このような状況の中で、情報漏えいを100%防ぐことは、不可能に近いといえます。
 では、どうすれば情報漏えいによる被害を最小限に抑えることができるだろうか。そのためには、情報漏えいが起こることを前提としたセキュリティーの強化が 重要になってきます。それには、次の2つのセキュリティーに対する考え方が必要となるということです。

(1) 情報漏えいの85%以上は内部から

 セキュリティー対策とは、ハッカーであったり、ウィルスであったり、建物への侵入への強化などの対策をして、 万全だと勘違いをしている人たちがいますが、決して少数ではないと思います。今の現実では、昨今の複数の企業による顧客データの流出事件は、 起こるべくして起こった事件と言えるでしょう。
 なぜなら、情報漏えいは外部からの侵入者ではなく、内部からがほとんどを占めているのにもかかわらず、外部への対策をもって万全と勘違いをしているからです。 内部からの情報流出に対する危機管理不足から刑事事件に発展するだけではなく、顧客信用の失墜や業務の自粛、売り上げの減少、 ブランドイメージの失墜など失ったものを回復するには、莫大な費用と時間と社内体制の大きな変革を余儀なくされるのです。 「うちに限ってそんなことはあり得ない」この考え方が最も危険で、一部内部の管理体制を見直し、監視を行っていくことは保険と同じです。 何かあってからでは遅いということです。今、個人情報保護法の保険も出てきております。

(2)社員の責任意識の向上

 どんなに立派なセキュリティーシステムを導入しても、人の意識が低ければ何にもなりません。 社員によって内部からデータが流出したり、下請け企業から情報漏えいしたりを防ぐ必要があります。 実際、情報漏えいの事件の犯人は、多くが社員や派遣社員、下請け業者や委託会社社員であり、これらの流出経路が不明であったり、 アクセス記録が残っていなかったりして、犯人が分からないことも少なくありません。経営者自身がセキュリティーの重要性を認識し、 管理職のみならず全社員に対するセキュリティー意識の向上を図ることが最も重要になります。
 上記以外の情報漏えいの経路として、パソコンを処分する際の業務委託者から漏えいということもあります。 皆さんの会社とかで処分する場合は、ハードディスクを抜いて、専門の人に消去をしていただく。 あるいは、委託するときも、委託の業者の方に「このパソコンをちゃんと処分してくださいよ」ということで確認をしてください。 もしかしたらその方が、「ここの情報はいいお金になるかもしれない」ということで、黙って、コピーを売ったりすることもありますので、 そういうこともちゃんと確認して処分をするようにしてください。

個人情報漏えいのリスク

 個人においても、企業においても、情報漏えいを防ぐための管理能力が問われる時代になってきています。 情報漏えいでデータが外部に流出してしまうことによって、企業はどのようなダメージを受けるのか考えてみましょう。

(1)取引先や顧客に対する信用の失墜

 情報漏えいの事件となると、マスコミで取りざたされます。ずさんな情報管理が社会に暴かれ、企業として管理能力を問われることになり、 社会的信用が失われます。それのみならず、民間企業の場合など、消費者の抱いてしまう悪いイメージは簡単には拭い去ることはできません。 そこの企業の商品は購入しなくなるなど、営業活動に多大な悪影響を及ぼします。営業自粛に追い込まれた場合など、利益の損失や深刻なダメージとなって、 その企業を脅かします。そして、一度失った信用を取り戻すのは、並大抵の苦労ではありません。

(2)損害費用などの金銭的な賠償負担

 消費者の購買差し控えによる売り上げが減少のみならず、顧客や取引先にまで被害が及んだ場合など、損害責任が発生する可能性があります。 訴訟問題に発展した場合の損害賠償金の支払い、それ以外にも被害実態調査にかかる費用や連絡の費用など、挙げれば切りがありません。 また、企業イメージのダウンは株価の下落にもつながり、その信用は簡単に回復することはできません。

 このように、情報漏えいが起こってしまうと企業のイメージダウンに留まらず、その企業の存続問題にもなりかねない状況に追い込まれることもあります。  情報漏えいが起こった場合、企業ダメージは計り知れません。インターネットの普及によって、自由になった情報網は過失による事故のみならず、 悪質な犯罪を招く機会も増やしました。
 この金銭的な負担というのは、非常に高いです。一人一人には500円の商品券を配ったりしているんですが、漏れるときには何万人とか、 何十万人の情報が漏れてしまうので、企業がすごい負担を抱えてしまうということになってきます。

個人情報保護法への対応!今一度、ご検討してみてはいかがでしょうか。