1970年代生まれの
人たちのための
エッセー集
2004/04/02に内閣府から個人情報保護法に関する基本方針が発表されたが、どうやら情報セキュリティの担当者のなかには、この法律についてとんでもない勘違いをしている人がいるようだ。もしあなたが「2005年4月の個人情報保護法の施行までに、うちの情報システムの情報漏えい対策をしっかりしておかないとコンプライアンスを実現できない」という危機感を抱いているとしたら、あなたは誰かにだまされているか、思い違いをしているかのどちらかだ。
情報システムの技術的な情報漏えい対策を実行することと、個人情報保護法に直接の関係はない。同法の基本方針によれば(6(1))、企業にもとめられているのは(1)ポリシーなど個人情報保護の対策をきめて公表すること、(2)責任体制をきめること、(3)社員の教育を実施することの3点セットだ。これ以外に個人情報保護法そのものに書かれていることをあげると、個人情報の利用目的を定義して(第十五条)公表すること(第十八条)、個人情報の処理を外部に委託している場合は、業務委託契約の中に委託先に対して個人情報保護対策をとるよう求める条項を追加すること(第二十二条)など、要するに技術的な対策でないことばかりだ。
要は個人情報保護法が直接もとめているのは、IT以外の社内ルールや体制の整備など、組織的な側面での対策なのだ。いくらあなたの会社の社内情報システム部門が、「個人情報保護法だ!大変だ!」とあわてて、社内すべての情報システムに技術的な情報漏えい対策をほどこしたからといって、ポリシーがなかったり、個人情報保護管理者が決まっていなかったり、社員に対する教育がなかったりしたら、アウトなのである。最低でも上述の3点セットがととのっていない限り、いくら情報システムの技術的対策が完璧でも、個人情報保護法の遵守という点では無意味なのだ。
そしてポリシーや利用目的の策定をするにしても、業種によって定義すべき内容が異なってくるので、2004年4月に各省庁から発表されるガイドラインを待つ必要がある。この業種別のガイドラインを待たずに、自分の会社の思いこみでルールや体制を先走って整備しても、結果的にガイドラインに沿わないものができあがったのでは、これも無意味である。
つまりこのエッセーを書いている2004/04/05時点では、まだ個人情報保護法に関するガイドラインが発表されていないのだから、個人情報保護法について何か対応をとるのは早すぎるのだ。せいぜい出来ることといったら、上記の3点セットの準備をすることや、この法律について社内で啓蒙活動をおこなうことなど、まったくITとは無関係な、社内行政的な対策ばかりである。個人情報保護法への準備という点で、情報システム部門が出る幕はないと考えてよい。
ここまで読んで「なぁんだ、じゃあ技術的対策なんてやらなくていいんだ」と考えた社内情報システム担当者がいたとしたら、それもとんでもない勘違いである。たしかに個人情報保護法との関係では、情報システム部門の出る幕はないのだが、逆に、情報漏えいの技術的対策という点では、今ごろ「急いで対策をとらなきゃ」と言っているようでは遅すぎるのである。
もしあなたの会社が明日個人情報漏えい事件を起こしたとしたら、民法など既存の法律を根拠に、損害賠償を請求されたり、世間から叩かれたりしてしまうのだ。個人情報保護法の施行を待つまでもなく、すでに企業は個人情報の漏えいによって大きなダメージを受ける。情報漏えい防止の技術的対策は、すでに行われていてしかるべきものなのである。
個人情報保護法が2005年に施行されるから、急いで情報漏えい防止の技術的対策を打たなければ!と思っている社内SEは、あわて過ぎであると同時に、のんびりし過ぎなのだ。あわて過ぎと言ったのは、個人情報保護法への対応という意味では、2004年4月に公表されるガイドラインを待つ必要があるのに、いま騒ぐのは完全にフライングだ、ということであり、のんびりし過ぎと言ったのは、法律にかかわらず、情報漏えい防止の技術対策はすでに出来ていて当たり前だ、ということである。
こういう勘違いが生じるのは、単純に個人情報保護法をちゃんと勉強していないからなのだ。個人情報保護法を読む前から、大変だ大変だとさわぐなど愚の骨頂。法律を真剣に読み、専門家の助言をあおげは、その位置づけや意味は理解できる。そもそも個人情報保護法の施行前からどうして個人情報を漏えいした企業が損害賠償を請求されるのか、不思議に思わなければならない。ちょっと考えれば、情報漏えいによって企業がうける損害と、個人情報保護法の施行タイミングとが直接関係しないことはすぐわかる。個人情報保護法によってはじめて、情報漏えいが企業の損害になるのではなく、企業の情報漏えいを未然に防ぐために、個人情報保護法が施行されるのである。
自分の仕事に密接に関係する法律について、この程度の厳密さを持てないようでは、コンプライアンス意識など望むべくもないと言わざるを得ない。