情報漏えい事件ケーススタディ集 個人情報保護法の先の情報セキュリティ

2014年1月25日
情報漏えい事件ケーススタディ集 個人情報保護法の先の情報セキュリティ

いつ自社が個人情報漏えい事故に遭遇するかわからない状況では、普段から漏えいけしからんと他社に対してあまり威勢のいいことを言ってばかりもいられない。実際、携帯電話やUSBの紛失や電車、タクシー等への置き忘れ、盗難など、企業の管理部門も対策に頭を抱えるヒューマンエラーを原因とするものは、日々どこかで起きている。

さらに、組織は人と人との信頼関係を拠り所に成立しているが、肝心要の管理職の背信行為によって情報が漏えいしてしまう事件までおきると、どのような対策をどこまでやるべきか、トップも暗澹たる思いにならざるを得ない。従業員に匕首を突きつけるような、または相互監視的な部分を増やすことがはたして健全な企業体なのかという思いに悩まされることになるだろう。自社や同業他社における事件を目にするまでは決心が鈍るのもわからないではない。このように情報管理の問題はやがて労務管理の問題等へと波及していくのである。こうした問題を考えていくには、ケーススタディが有効であろう。特に実際の生の事件でなければならない。そのことから本稿では、あえて主要企業名を紹介することとした。

鈴 木 正 朝(すずき まさとも)

新潟大学法科大学院実務法学研究科教授。中央大学大学院法学研究科博士前期課程修了。情報セキュリティ大学院大学情報セキュリティ研究科博士後期課程修了。社団法人情報サービス産業協会、ニフティ株式会社(法務部・情報セキュリティ推進室)を経て2005年より現職。主に個人情報保護法制や情報マネジメントシステムに関する研究を行う。岡村久道弁護士との共著『これだけは知っておきたい個人情報保護』(2005年日本経済新聞社刊)は86万部発行のベストセラー。

個人情報保護法が提起するもの

863万件の個人情報が流出し、謝罪会見をおこなう大日本印刷北島義俊社長。元社員が顧客の個人情報をMOディスクなどで持ち出し、犯罪グループに売却していた 写真提供/共同通信

 「個人情報の保護に関する法律」(以下「個人情報保護法」という)が内閣府の消費者庁に移管され、今春から法改正が議論されるようである。同法に対する評価は、さまざまであろうが、まず立法化の良かった点を強いてあげるとするならば、個人情報保護法の全面施行(平成17年4月1日)を契機に企業の情報管理の意識が高まり、経営者の情報セキュリティ投資を促進したことであろう。
情報管理の対策の要は、社員ひとりひとりの意識にあるということも否定はしないが、その前提として、安全管理措置等にかける予算額の問題に帰着することが多い。大和魂だけで戦争遂行ができないように、経営資源(ヒト・モノ・カネ)を事前に、そして恒常的にどれだけ投下するかにかかっているのである。
ただし、この情報管理コストは国の防衛予算同様に際限なく投資しかねない面をもっている。また、一方、非武装中立論のように何もしないのが対策とばかり、でたとこ勝負を決め込む非現実的な判断もまかり通る面も有している。

 いずれにしても、個人情報保護法の全面施行をマスコミが喧伝してくれたおかげで、社長の財布の紐が多少ゆるんだことは確かであろう。
景気が今ひとつの中、直接の利益を生まない情報管理に一定額の予算を費消したことは、企業全体の個人情報保護レベル、情報セキュリティレベルを引き上げる効果をもたらしたと総括することができるように思うのである。

業種・規模を問わない一律規制

 しかし、これはいわばショック療法というもので、民間企業の業種も事業規模も問わない包括的な一律規制は、乱暴な法政策である。
情報セキュリティ対策に関する義務規定などは、「必要かつ適切な」保護レベルをつきつけられるのである。これほど抽象的な規制はない。道交法になぞらえて言うならば、交通安全に気をつけて運転しなさいというようなものである。
取り締まる者の裁量でいかようにも反則切符が切られてしまう状況でドライバーはどのように運転しろというのか。法の支配も相当アバウトといわなくてはならないだろう。

 法の規制内容は、過度に抽象性が高い文言で表記されているが、そこは主務大臣がガイドラインを告示することで、より具体的な規制内容が示されるのだと、心配はご無用だということになるのであろうが、ガイドライン案を起草させられる方もたまらない。
国会の丸投げ案件をどうさばくのか、多数の紙幅をさきながら、そこに踊る文字は、物理的安全管理措置、組織的安全管理措置、人的安全管理措置、技術的安全管理措置であり、それぞれに留意すべき様々な事項が列記されるのである。こうした一般論は、まさに教科書的で文句はつけられない。
法ではわずか数文字の「必要かつ適切な安全管理措置」は、告示段階では、A4で11頁近くまで詳細に記述されているわけである。技術と現場に暗い法学者は、これをもって法の運用に支障のない程度に指針が明らかになっていると、各企業はPDCAを回しながらよろしく管理いただきたいと締めくくって退散である。

カテゴリー:ケーススタディ |