個人情報保護法施行に備えて

2008.4.1

個人情報保護法（個人情報取扱事業者の義務等）の2005年4月施行を控え、個人情報取扱事業者に該当する企業、政府系非営利団体、学校、病院などにおいて準備が行われている。私たちの会社にもかつて経験したことがないくらい沢山のコンサルティング依頼が来ており、多くの会社が対応に苦慮しているものと推測される。

当該事項について、企業が当惑する理由は2つある。一つは「個人情報の管理」という概念が近年広まったものであること、もう一つは当該リスクの特徴とも言える「内部犯行」は従来の通念では対処が困難ということである。日本企業は、「恥を知り・道徳を知る文化」の中で営々と成長してきている。従って、内部統制については、社員のモラルに依存する性善説に基づくものが一般的であるため、統制をどう行うべきか困惑している企業が多い。

さらに留意すべき点は、「個人情報の漏洩事件」が現在、報道の対象として大きな関心を集めている事である。「個人情報を紛失した」という事実を会社が確認したときは世間に公表するという風潮が出来あがっており、実際に「個人情報紛失事件」は多数発生している。「個人情報」という言葉は、しばらくの間、日本社会におけるキーワードとなるであろう。「個人情報」に係わる法律対応、企業動向そして漏洩事件は今後ますます報道の対象となることが予想される。これは、さらに個人の意識を高める結果となり、企業に対する訴訟・クレームが増加するであろう。

個人情報の管理は、（1）個人情報保護法に対する対応と（2）情報漏洩防止と緊急対応に大別されるが、これらは、別のものとして考える事をお勧めする。保護法対応については、現在の各監督官庁のガイドラインに統一性が無い等、少々混乱が見うけられる。従って、監督官庁の動向・意向を十分に把握した後に体制を検討すれば良い。罰則についても発動されるまでは幾つものフェーズを踏むことが分かっており、いきなり罰則を課すことはないと判断出来る。関連情報を適宜入手して動向をいち早く掴み、必要最小限の対応を行うことが望ましい。

一方で、個人情報漏洩事件が起こった場合、「報道機関にリリースするか」、「緊急対応はどうするか」等、企業として重大な決定をそれこそ1日、2日で行わなければならない。事前に恥ずかしくないレベルの漏洩防止対策、そして、漏洩発生時における緊急対応体制の構築について早急に検討を行うことが必要である。

以上