情報セキュリティコンサルタントの提言

個人情報保護法に備える4つの課題

山口 毅治
インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部シニアディレクター
BSI認証 BS7799スペシャリスト
2004/12/2



 近年、経済・社会の情報化の進展に伴い、官民を通じて、コンピュータやネットワークを利用して、大量の個人情報が処理されている。こうした個人情報の取り扱いは、今後ますます拡大していくものと予想されるが、個人情報は、その性質上いったん誤った取り扱いをされると、個人に取り返しのつかない被害を及ぼす恐れがある。実際、事業者からの顧客情報などの大規模な流出や、個人情報の売買事件が多発し社会問題化している。

2004年3月 ジャパネットたかた
2004年3月 アッカ・ネットワークス
2004年1月 ソフトバンクBB
2003年12月 東武鉄道
2003年11月 コンピュータソフトウェア著作権協会(ACCS)
2003年11月 ファミリーマート
2003年8月 アプラス
2003年6月 ローソン
平成16年6月時点までの主な個人情報漏えい事件

 それに伴い、個人のプライバシーの取り扱いに関する不安が高まっており、また、安全管理をはじめとする企業の個人情報保護の取り組みへの要請も高まっている。一方、企業活動などのグローバル化が進む中、企業において国際的に整合性を保った法制の整備と運用が求められている。

 このような状況下において、各省庁や大手企業では2005年4月の「個人情報の保護に関する法律」(通称:個人情報保護法)の全面施行を目前にして個人情報保護対策を実施していると思われる。しかしながら、一部の企業においては、個人情報保護対策の未実施もしくは検討中というところも少なくないだろう。では、なぜ個人情報保護対策が未実施なのか、なぜ対策に着手できないかを考察し、その対策について述べてみたい。

 個人情報漏えい対策における課題

 いままで、私が情報セキュリティ支援(コンサルティング)を実施してきた経験から、企業の実態を判断してみると、大別して4つの課題がある。それぞれの課題について私なりの意見を述べる。

  1. セキュリティギャップ
  2. プロジェクト体制と意思決定
  3. 散在する情報と管理の難しさ
  4. 外部委託業者管理

●セキュリティギャップ

 まずはじめに、マネジメント層とシステム管理者(担当者)間において、セキュリティ対策に対する意識のギャップが存在するのではないかと推察される。ではなぜ、ギャップが存在するのか。

 マネジメント層は“費用対効果”を考慮した投資を考えるのが当たり前であり、セキュリティ対策を実施した場合の費用対効果については明確な効果が見えにくい。ほかの仕組み(ERPシステムなど)に投資することのほうが投資効果をより大きく得られると考えているだろう。確かに、セキュリティ対策を実施し企業のセキュリティレベルを上げたとしても、それが業務効率の向上や売り上げに直結する話でないことは理解できる。

 しかしながら、企業の信頼性・信用度についてはどうだろうか。いまや大きな資産を持つ会社や知名度の高い会社が漏えい事故を起こし、その立て直しに苦戦を強いられていることを考えると、企業の持つ個人情報が漏えいした場合、その企業に対する社会的評価が低下し、当該企業に与えるインパクトは容易に考えられる。セキュリティ対策は、経営上の重要課題であるといっても過言ではないのではないか。

 一方、システム管理者(担当者)においては、業務効率の向上や安定的なシステムを利用者に提供するために、日夜努力をしている。当然、システム管理者(担当者)は、自社の抱える問題点(システムや内部規則)を把握しているだろう。

 にもかかわらず、セキュリティ対策が進まないということは、一番、現場に近い人たちからの声がマネジメント層に届いていないのか。もしくは、セキュリティ向上を目指すと業務効率が下がってしまい、安定したシステムを利用者へ提供できないと考えているので、次の施策を躊躇(ちゅうちょ)しているのだろうか。どちらにしても、マネジメント層とシステム管理者(担当者)とのギャップは確実にあるといえる。

(c) 2004 Internet Security Systems, Inc. and Internet Security Systems K.K. All rights reserved.

●プロジェクト体制と意思決定

 いまやセキュリティポリシーの策定や認定取得を行う企業が増えている。ISMSBS7799といったセキュリティポリシー認定取得支援を実施する中において感じたことと同様のことが、個人情報保護対策についてもいえるのかもしれない。

 それは、真のセキュリティ委員会組織を作り上げることが容易ではないということである。ともすれば、認証取得のためのプロジェクトになりがちで、セキュリティ委員会も担当部署で組織化するというケースも珍しくない。

 本来、企業のセキュリティポリシーを検討する際に担当部署で委員会を組織化するべきではない。会社規模もしくは取得事業規模において認知されたセキュリティ委員会(プロジェクト)にするべきである。認知されていないセキュリティ委員会には当然のことながら権限がなく(ワークグループ化している)、策定したセキュリティ施策もマネジメント層で棄却され手戻りが多く発生してしまう場合もある。個人情報保護対策についても同様なことが想定される。

●散在する情報と管理の難しさ

 インターネットの普及のおかげで、BtoBやBtoCビジネスにおいてさまざまな情報がインターネットを通じて収集できるような仕組みになってきている。そうして収集された情報は多種多様に加工されビジネスに利用されており、システム管理者(担当者)が知らない個人情報が部門単位もしくはビジネスユニット単位で運用されているのではないだろうか。このため、情報管理の“複雑さ”や“難しさ”が、個人情報保護対策を推進することに歯止めをかけているかもしれない。

●外部委託業者管理

 いくつかの個人情報漏えい事故では、外部委託業者からの情報流出が原因とする報告があった。その業務委託内容は、多岐にわたって一般化(データ入力、事務処理、開発など)されていると考えられる。委託業務契約を結んだ時点で、委託業者が取り扱うべき情報が不明確ということもあり得るのではないだろうか。そこに企業にとってのリスクがある。しかしながら、業務を遂行するに当たり外部委託業者との関係は必要不可欠であり、個人情報保護対策を推進するための障壁になっていると推察される。

 
1/2


Index
個人情報保護法に備える4つの課題
Page1
個人情報漏えい対策における課題
-セキュリティギャップ
-プロジェクト体制と意思決定
-散在する情報と管理の難しさ
-外部委託業者管理
  Page2
個人情報保護対策に向けて
企業の社会的責任を見据えた対策を

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH