目次

1. 今、身近で起っていること

個人情報保護法は2005年に全面施行されました。法令の対象は5,000件以上の個人情報を保持している事業者で、民間企業、公共団体もその適用範囲になっています。漏洩が明らかになった場合、そのニュース性からも制裁のダメージが大きく、関心の高い法令となっています。
施行から10年を経て、個人情報を保護するという意識は定着してきており、企業や団体でも法令遵守の観点から以下のような取り組みが行われています。

【企業・各種団体での取組例】

  • 社外への情報の持出し禁止
  • 社員に対する個人情報保護の意識教育の徹底

これらの取り組みにより、個人情報を保護するという意識は高まっていますが、個人情報の漏えいや紛失の事故は後をたちません。その一方では「組織内での緊急連絡網の廃止」、「企業でのマーケティング活動の弱体化」などの過剰な保護意識がもたらす弊害も出てきています。

一方、マイナンバー制度の開始にあたり、各企業は納税のため、従業員やその家族のマイナンバーを収集する必要があります。その際に収集されたマイナンバーは、従来の個人情報以上に漏えいや紛失に対するより一層の注意を払う必要が出てきます。


2. マスコミを賑わす情報漏えい事故の捉え方

「なぜ、情報漏えい事故は起こるのか?」を世間で起こっている情報漏えい事故の事例から考察します。網羅性を保つためにそれぞれ異なった業務の現場の事例を抽出しました。取り上げる事例の場面は@教育現場、A医療現場、B民間企業です。

@

教育現場

ある教育機関の職員が、自宅で作業するため、学生や卒業生の就職先や成績のデータの入ったUSBメモリを持ち帰り、紛失してしまいました。その職員の自己申告に基づき教育機関側が紛失の事実を公表したことによって明るみになった事例です。

 

A

医療現場

ある医療機関の医師が患者の氏名、性別、生年月日、病名、手術の術式などが記録されたノートPCを電車内で紛失したという事例です。紛失したノートPCは結局発見されませんでした。

 

B

民間企業

ある民間企業の営業店で顧客の情報が大量に印字されたコンピュータ帳票(紙)を紛失していたことが発覚しました。これは「誰かが持ち出したのか?」「誤って廃棄してしまったのか?」など実際に情報漏えいに繋がったのかすらも分からないという事例です。

これら3つの事例は、いずれも「業務遂行のために持ち出した情報媒体の不注意による紛失」に起因します。

最新の統計情報(出展:情報セキュリティインシデント報告書2012年前半速報)でも、情報漏えいの原因は、管理ミス、誤操作、紛失・置忘れなどの「不注意による」ものが8割以上を占めています。また、その漏えい経路は、PC、USBメモリ、紙媒体といった可搬媒体がほとんどで、中でも紙媒体が7割以上を占めています。

このように、情報漏えいの多くは社員の不注意から発生しているため、企業や団体で熱心に行われている「社員の意識改革」だけでは完全にはなくならないということになります。


3. 目から鱗! 個人情報保護法の真意とは

そもそも個人情報保護法は、組織における個人情報は情報提供者からの事前合意があれば組織活動に利用できるという法令です。しかし、個人情報が漏えいした際に企業が受ける社会的なダメージが大きいことから法令が正しく理解されておらず、“個人情報を利用するための法令”ではなく、“個人情報を極力使わせない法令”であると思い込みがちです。法令が正しく理解されていないため、個人情報を扱う場面を極力限定的にするように社員への意識改革や持出し禁止という表面的な対策だけが実施されているのが現状です。

一方、前述の3つの事例で示したように、情報漏えい・紛失の原因の多くは情報を外部に持ち出すために可搬媒体(USBメモリ、PC)に複製したことがきっかけになっています。また、部署単位で行われている業務ごとに情報が管理され、情報の複製が個人の判断で簡単に行われている事が一因となっています。
個人情報を情報漏えい・紛失のリスクから守り有効活用するためには、情報漏えい対策だけでなく、情報(文書)運用を見直す必要があります。
その見直しのポイントは以下の通りです。

@

“業務で使う情報が正しく管理されているか”業務で”本当に管理すべき情報は何か?”を見直す。

  • 部門・部署毎に処理控え、コピーを保持しないようにする。保持する必要がある場合、全体で集中管理できないか検討する。
  • 保管期間だけでなく、保存期間中の情報については適切に棚卸(存在確認、見読性)し、保存期間満了後、確実に廃棄する。
 

A

“持ち出さないで持ち出す”しくみを考える。

  • 情報を物理的に社外へ持ち出すのではなく、社外でも活用できるしくみにできないかを検討する。
    個人情報保護法が施行された10年前と比べて、私たちが働くオフィス環境は大きく変化しています。フリーアドレス、自宅勤務など働く場所は多様化しています。環境変化に伴い、従来の持ち出さない対策ではなく、持ち出さなくても情報を活用できるしくみを検討しましょう。
 

B

ペーパーレスを推進し、紙媒体の一時利用を徹底する。

  • 個人情報を紙に出さない。
  • どうしても必要な場合は一時利用(入力情報のチェック時など)を徹底し、利用後の即時廃棄を行う。


4. 具体的な改善例

前章3.で示した見直しのポイントの実効性を高めるためには、冒頭であげた「個人の意識を高める。」取り組みだけでなく、事例から学んだように「不注意による紛失の防止」と「紙媒体活用ルールの見直し」が重要です。

これらの実現のために、次の改善例に示すITの活用が有効な手段となります。

改善例1.文書の電子化と文書管理システムによる集中管理

文書管理システムの導入により、次の集中管理のしくみを実現できます。

  • 情報(文書)の生成から廃棄までのライフサイクルの管理(いつ廃棄すべきが明確に)
  • 利用者の権限の管理(業務要件に合わせて情報にアクセスできる人が明確に)
  • 利用者の操作履歴の管理(規則・規定に従い運用されているかが明確に)

このように全社レベルでの文書管理システムの導入により情報を適切に扱うことができ、不注意による情報漏えいを防ぐことができます。
さらに、情報の利用環境が整備され、業務効率の向上に繋がります。

改善例2.VPNやシンクライアントを活用した社外での情報活用

社内で安全に集中管理された情報を、シンクライアントやVPNを介して社外から活用することができます。この場合、端末自体を紛失しても情報漏えいを防ぐことができます。

さらに情報漏えい対策だけでなく、以下のような業務改善効果も期待できます。

  • 場所を選ばない情報活用による業務効率の向上
  • 情報持ち出しに利用していた媒体の購入費用の削減
  • 情報持ち出し準備に要していた時間の節約

改善例3.タブレット端末を利用した業務のペーパーレス化(ペーパレス会議)

タブレット端末を利用して、会議資料を共有することで、会議という1つの業務をペーパーレス化することができます。会議資料を紙として配布しないので、会議資料の紛失リスクを防ぐことができます。
さらに、情報漏えい対策だけでなく、以下のような業務改善効果も期待できます。

  • 会議資料印刷コストの削減

このように、IT技術は人為的なミスによる情報漏えいを効果的に防止し、ミスを起こしても情報漏えいのリスクにつながらないようにしてくれます。さらに、個人情報漏えい対策に留まらず、様々な業務改善効果も期待できます。

また、IT技術を活用した情報管理は部署ごと、部門ごとではなく、全社レベルで適用することが重要です。そのためには、トップマネージメント層が3.に示した見直しポイントを踏まえて、全社レベルで積極的に推進すべきです。

一方、個人情報保護法が約10年ぶりに改定される動きがあります。 昨今注目されているビックデータの中でも、特に利用価値が高いとされているパーソナルデータ(ネットショッピングの購入履歴等)を積極的に利活用するための法案が国会で審議されています。パーソナルデータを「個人の特定性を低減したデータ」へ加工すれば、本人の同意がなくても、そのデータを第3者への提供を含め利用できるというものです。
パーソナルデータという個人情報から、個人を識別する情報を匿名化させることで、利活用可能なデータに変換してから使うという新しい考え方がみてとれます。過剰反応に伴う活用の委縮がこれまで取りざたされていますが、情報活用を前提とした保護という動きに変わりつつあります。

今後も当部会として、文書管理システムを活用した情報の保護と活用に関する実効的な提言を行っていきます。