 |
(編集部)企業はどのような姿勢で、個人情報保護に臨むべきだと思いますか?
佐藤 本来、個人情報保護は、法律がなかったとしても対策をとってしかるべきテーマなのではないかと思います。意外ですが、アメリカには、日本の包括法制のような個人情報保護法に該当する法律はありません。
|
|
 |
|
|
ただし、多くの企業で日本の法律以上に厳しい「社内規定」が設けられ、それによって秩序が保たれているという状況があります。ところが日本の場合、「法律にあるのだから、とにかくそれを順守しなければならない」という点にだけ目がいってしまい、「コンプライアンス対策」という側面から個人情報保護法が語られるようになってしまっています。
では、本来どうあるべきか?どんな視点で対策を行うべきか?……そこでカギとなるのが、「顧客満足度向上」という観点から、具体策を導く方策だと思います。つまり「どうすればお客様が喜び、満足していただけるだろうか」「安心していただけるだろうか」「不快感を与えずに済むだろうか」という視点から、「企業としてどのように取り組むか」を考えるべきだということ。そこから法律を捉えれば、おのずと正しい答えが出てくるのではないかという考え方です。
法律の条文の解釈から入ると、「適切な安全管理措置を講ぜよ」という20条の規定のために、たとえば「住所変更の申し出の際の本人確認をどの程度すればよいか」が問題になったりします。しかし、本来は「合法かどうか」という視点より、「お客様に安心していただきつつ利便性を損ねないためには、どの程度の確認作業が必要かどうか」という視点から考えた方がいいわけで、このようなアプローチで対策を行った企業は、おそらく個人情報保護法対策が負担になっておらず、むしろ顧客満足度向上のためのいい機会になっているのではないかと思います。そうではなく、条文を追いかけて対策を行っていると、「苦しい」し、「仕方なくやる」という位置づけのものになってしまうわけですね。
|
|
|
|
|
|
|
|
(編集部)具体的な対策を行う上でのポイントを教えてください。
佐藤 たとえば情報の漏洩対策を「個人情報に限って行う」ということは、企業では本来はできない話だと思うのですが、現状では情報セキュリティ対策からこの部分だけを「特出し」でやろうとしてとまどっているのが散見されます。しかし本来はやはり「情報セキュリティ対策」全体を見ながら、「自社では何をすべきか」を見直し、不十分な部分の対策をとっていくことが必要なのではないかと思います。 |
|
 |
|
|
|
|
|
|
|
鈴木 私も全く同じ考えですね。企業活動の中で「個人情報」はもちろん重要なのですが、重要情報はそれだけではありませんね。そもそも個人情報といった抽象的な捉え方では、それを現場に徹底することには無理があります。例えば、議事録に参加者名が記載されていた場合、それは「個人情報」として別の取り扱い方をするでしょうか。通常は、議事録は議事録としてファイリングされますし、経理で取り扱われる情報も個人名が記載されているからといって、別の取り扱い方になるわけではありません。つまり、企業の業務に即したプロセスの中で情報をハンドリングし、その運用のあり方を、適法であることを前提に、安全にかつ効率的に改善していくことが、対策を行なう上でのポイントになってくると思います。
ただし実際には、ハンドリングしている一つの情報が「個人情報」であると同時に「プライバシーに係る情報」であることも多く、さらに、顧客情報は通常、契約によって取得していることが多いので、契約上の守秘義務の対象であることが大半です。またお客様情報は「営業秘密」として管理していることもありますね。ですから、適法性の確認も、個人情報保護法だけではなく、場合によっては、契約内容に違反していないことや不法行為に該当しないことの確認が必要になりますし、不正競争防止法などの確認が必要になってくるケースもあるのです。
ですから、社内の重要情報を「個人情報」としてのみ取り上げて、「個人情報保護法」だけを見て社内管理をしているとしたら、うまくいかないと思います。個人情報管理も、「情報管理一般」として捉え、関連する法律と契約内容の確認を前提とした社内体制を組み上げていかなければ、内部統制時代だけに、痛い思いをすることにもなりかねません。
|
|
|
|
|
|
|
|
(編集部)個人情報を「情報管理一般」と捉えるなら、対策も一般的な情報セキュリティ対策と同じアプローチでいいのですか?
佐藤 企業が守らなければいけない機密情報には「企業自身が自ら作っている機密情報」と個人情報などの「人から預かった機密情報」の2種類があり、それらはそれぞれ、情報として取り扱い方、捉えられ方が異なる性質を持つと考えています。
まず前者の自ら作る機密情報は、ビジネスに応じてどんどん発生するわけですから、「生めよ増やせよ」でたくさん作ることは、企業にとっていいことだと捉えられると思います。それに対して後者の預かり機密情報というのは、自ら作ってはいない性質のものですが、預かり過ぎてしまうと「守るための負担」も増えてしまいます。だからまずは「必要のないものは預からないようにする」ことから始めなければならないのです。「必要のないものをもらってそれで対策をする」ことは、企業にとっては全く不毛なコストになりますから、それが後者の情報の漏洩対策を行ういちばんの出発点になります(下図参照)。
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
(編集部)情報を預かりすぎないためには、具体的にどんなルールを定めればいいのですか?
佐藤 たとえば「ダイレクトメールを送らない」のであれば住所を聞く必要はないわけですが、こうした情報の取捨選択のルールを企業はあらかじめ決めていかなければなりません。そして、そこで「ダイレクトメールを送らないのであれば住所を聞かなくてもいい」というルールではなく、もっと明確に、聞くことを禁止する、つまり「ダイレクトメールを送らないのであれば住所を聞くことを禁止する」というルールを設定するのです。
社員は、「会社のためによかれ」と思い情報をたくさん持ってくるわけですから、その人たちに対しては、「許可条件」ではなく「禁止条件」を決めてあげる、というのがポイントになります。これがないと、仕事に前向きな社員を抱えていればいるほど、いらない情報が集まってきてしまうことになります。こうした「取得しない」という発想は、これまでの情報セキュリティにはなかった考え方ですが、個人情報保護対策を行う上では非常に重要なカギになってくる部分でもあると思います。
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
(編集部)取得した個人情報は、どう取り扱えばいいのですか?
佐藤 「もらってきた情報に必要以上にアクセスをさせない」というのが一番のポイントです。情報はどんな局面でどのように使われるかわかりませんから、誰がどのような権限で使うことができるのかというのは、明確には決められないし、そこを決めるとビジネスの自由度がなくなり、ビジネスチャンスを失うことにもつながってしまいます。しかし、個人情報の場合は極めて明確で、連絡先情報に該当するような住所とか電話番号などを、企業が使う目的はだいたい限られるわけです。たとえば住所を使うのであれば郵便に使う、電話番号は電話をかけるために使う……という具合に、非常にシンプルです。
ですから、そこでは「電話番号は電話をかける業務の人だけがアクセスできるようにすればいい」という非常にシンプルな情報セキュリティ・ルールを作成すればいいのです。通常、情報セキュリティのルールはこれほどシンプルには作れないものですが、個人情報は項目ごとの用途を絞り込めるのですから、アクセスできる人もそれにあわせて絞っていけばいいわけです。
もちろんそのためのITとして、情報セキュリティの基盤が必要なことは変わりませんが、絞り込めば、漏洩対策をしなければならない範囲もぐっと狭まります。そうしないと、社員全員のPCが顧客情報にアクセスできる会社では、全てのPCのリスクを減らすという話になってしまう。まずは入り口で絞り込み、さらに情報の出口でも絞り込み、そこに集中して対策を行っていく。対策の対象を少なくすれば、そこにより高度な対策を施すことができ、より効果的な手段を選ぶことができるというメリットもあります(上図参照)。 ≫ 【Chapter 3】 現状での問題点と解決法 |
|
|
|
|
|
|
印刷用画面へ
