Revised: 2004-11-08; Since: 2004-10-05
本稿は、個人情報保護法関連のメモです。現在は、便宜的に「概要」と「詳細」に分けていますが、将来的にはより細かい章に分割する予定です。要はメモ程度ですが、まとめ情報として有益となることを目指します。
セキュリティとプライバシが注目されています。セキュリティは情報セキュリティとしてISMSというフレームワークがあります。プライバシは、OECD 8原則やEU指令があります。いずれもISO/IECの規格として定められ、国内でも行政によって適合評価制度が運用されています。
これらが注目されるようになったのは、相次ぐ個人情報流出事件や不正の発覚のほか、個人情報保護法の全面施行が間近に迫ったことも影響しています。個人情報保護法は、OECD 8原則に応える国内法を整備することが目的であったわけですが、社会情勢の変化に伴う不可避の趨勢でもあります。
ここで試みに、最近の不祥事を挙げてみます。
などなど、あらゆるところであらゆるレベルで、枚挙に暇がありません。法令/規約遵守を軽んじた結果、人命を喪わせた事例の問題が大きいことは論を待ちません。個人情報という観点では、TBCの場合、スリーサイズやTBC側で付けた容姿ランクなどが流出しており、「特定の機微な情報」として典型的です。これらの不祥事は毎日報道されており、あまりに頻繁なので、最近では麻痺気味ですが、ここで見たように、経営基盤すら失い、破綻/解体している企業も少なくありません。
これらの例は、消費者と現場/生産者を無視した、営業主導による経営側のコスト削減が行き過ぎた最悪の部分です。資金と社会的信用の両面で莫大な損失を産み、回復するための巨額投資が必要となり、少なからぬ事例で結果として経営難から倒産/解体に至っています。
このような事件に接し、コーポレート・ガバナンス(企業統治)、ビジネス・コンプライアンス(法令遵守)、ビジネス・エシックス(企業倫理)というものが、一躍企業のコア・コンピタンスとして主要な経営課題に浮上してきました。
とはいえ、危機感を煽るだけでは生産的ではありません。きちんと対策すれば、綺麗に防げるものばかりです。個人から見れば、住所氏名年齢電話番号のような基本的な個人情報は既に流出していると思わなければなりませんが、TBCのような情報をインターネットからアクセスできるところに平文で放置することは問題外です。
勿論、難しいところは沢山あります。しかし、昨今の社会問題になっているのは、そんな高いレベルではなく、当然やっていて然るべき、知らなかったでは済まされないものばかりです。
ここでは、個人情報保護法に注目して、その概要と必要な対策をまとめてみます。企業法務の観点では、法律と司法の専門知識が必要となりますが、現場でも知っていなければならない知識は少なくありません。ロール別の動的アクセス制御や、個人情報入手時の利用目的の明示、情報主体からの同意の取り付け、個人情報のライフサイクル管理、情報主体からの問い合わせの仕組み、事業部横断的な統一管理などは、既存のセキュリティ・フレームワークに追加して開発されなければならないシステムであり、現場で設計/実装が必要な事柄です。
|