2006年の個人情報保護対策

2008.4.1

2005年4月の個人情報保護法完全施行後9ヶ月経った。去年の今頃の個人情報保護法対策と比べると、どの会社も対策が格段と進んでいるので、感心させられる思いである。最近、数社の企業の方と個人情報保護法対策についてお話をうかがう機会があった。どの企業も、個人情報保護方針等の掲示、個人情報保護規定の整備、施錠管理などの安全対策を施しているところまでは及第点だ。このように、今まで取り組んだ対策についてお話を聞くと問題はない。
　しかし、実態について少々踏み込んだ質問をすると、ご担当者の方が十分に把握されていなかったり、個人情報保護法対策が社内に十分に浸透していなかったりしていることが明らかになった。このようなことができていなかったので、100点満点中80点と言えよう（何を以て100点中80点かはさておき）。どの企業も基本的な対策はできているが、そこから先は行き詰まっているようである。つまり、80点は容易に取ることができても、残りの20点を取るのが困難のようである。
　では、この残りの20点が取れない理由は何であろうか。これは、"内部統制で求められること"が根本的に欠けているためではないかと考えている。"内部統制で求められること"というのは、「企業の目標に向かって、従業員が自律的に働きかける仕組みを作ること」である。つまり、この仕組みがないので、個人情報保護対策が社内に十分に浸透しないのではないか。
　2006年は、この内部統制の観点から個人情報保護対策に取り組むのが得策であろう。

　さて、残りの20点をとるためのポイントについて検討してみる。
　この減点理由を詳しく見ると、3つの共通点がある。1つ目は個人情報の特定が不十分、2つ目は従業員教育が不十分、3つ目はシステムや委託先の管理責任の所在が不明確、であった。
　1つ目の個人情報の特定について。個人情報保護法対策の取り組みを始めるときには、できる限り自社で取り扱っている個人情報を特定する必要がある。個人情報が特定できていないと、抜け漏れた個人情報の管理レベルが落ち、流出したり、不正利用してしまったりする可能性があることは言うまでもない。今回弊社が行った調査で、個人情報を取り扱う業務フローから改めて聞き出したところ、リストに挙げられていない個人情報を幾つか見つけ出すことがあった。
　2つ目の従業員教育が不十分と思った点については、2パターンある。一つは個人情報保護規則を作ったらあとは従業員に見せるだけというパターンである。せっかく作った規則をイントラネット上においたりしても、実は誰も見ない。担当者が規則を見たところで、何をすべきか良いのかわからない、何をしたらいけないのかわからないのである。まさに形骸化している。もう一つは取り扱いルールが有効かどうか確認されていないというパターンである。「個人情報を保管するときは暗号化する」といったルールを教育しても、その暗号化ツールを配布していないというようにルールが有効でない例が多々見受けられた。
　3つ目のシステムや委託先の管理責任の所在が不明確な点とは次のようなケースである。例えば、システム部は社内の基幹システムに対してのみ管理責任があり、その他の部署で取り扱っている個別システムは全く関与していないケースが多かった。システム部が、各部署の取り扱うシステムのセキュリティ対策まで介入するといったことがないのである。全社的にシステムのセキュリティレベルを一定に保っていないのである。

　1つ目と2つ目の点では、個人情報管理を推進する事務局が従業員に対して、基準（ガイドライン）をきちんと示していないために、各人が何をすべきかわからないといった事態になっている。3つ目の点では、対象に関する責任と権限が不明確になっている。これらの点から、内部統制で求められることが欠けていると判断される。
　内部統制を意識した仕組みを作るのであれば、会社側が、対象者を明確にして、何をすべきか基準を示すことと、禁止事項を示すことが必要である。これからは会社側が手取り足取り指示するのではなく、基準を示し、対象者（管理者や従業員）各自に取り組み方法を考えさせることがポイントになる。ここで対象者に責任と権限を与えるのである。そして、各自の取り組みに対し、基準に従った点検を定期的に行い、その取り組みが有効かどうかを確認、良ければ対象者を適正に評価するといった仕組みを作る。これが、対象者を自律的に働かせる仕組みとなる。
　こういった面から企業の体質を改善していくと外連味のない内部統制の基盤ができる。さらに、具体策（紙面の関係で割愛する）を軽く施すだけで、社員が自律的に個人情報保護法対策に取り組み、100点満点に近いレベルになることが期待される。これこそが「2006年の個人情報保護対策」に思える。

以上