個人情報保護対策−企業・団体のための個人情報保護支援サイト

　「個人情報保護法」が全面施行され、個人情報の漏洩をひとたび起こせば、法律に基いて処罰の対象になるのはもちろん、社会的にも大きなダメージを負うことになる。ただ、個人情報保護法の規定は最低基準的な意味合いのため、実際には各企業はそれに基づいた対策を独自に講じていかなければならない。そうした対策の取り組みとポイントとはいったいどんなものなのだろう。

"個人情報”とはどんなものか

　コンピュータ技術の発展と普及により、多くの企業が顧客データをコンピュータで処理するようになった。デジタルデータ化により便利さが向上した一方で、管理している個人情報が流出するなどの事故や、不正な手段で情報を盗み出されるなどの事件なども増え続けている。そこで、平成17年4月、情報を入手し保管する企業などにさまざまな義務と対応を定めた「個人情報保護法」が全面施行された。
　同法は、個人情報を取り扱う事業者の管理義務と責任について規定した法律だ。この法律で個人情報と定義されているのは「特定の個人を識別することができるもの」。具体的には氏名や生年月日などのほか、画像や音声、さらに他の情報と照合することにより特定の個人を識別できるものも含まれるし、デジタルデータ以外の紙ファイルなどでも、目次や索引を付けて検索できるようにしていれば該当する。

法律遵守だけでは意味がない

　ここで気をつけなければならないのは、個人情報保護法には「集めた個人情報の管理の仕方」だけではなく、「個人情報の集め方」についても規定されているという点。
　具体的には、個人情報を収集する際には利用目的を明示する、目的以外で利用する場合には本人の同意を得ることなどが挙げられる。例えば顧客にアンケートを取るにしても、集めた回答をどう扱うかを、顧客に対して事前に明示することが必要になる。集めた個人情報の管理さえ厳重にすればいいというものではなく、事前に対応しておかなければならない項目も多いわけだ。また、同法の規定は最低基準的な意味合いなので、法を遵守していても「個人情報の漏洩」を起こせば、処罰や損害賠償なども必要になるため、より一層「個人情報保護」に努めることが必要になる。

　極端な話だが、手帳の住所録に記録しただけでも「個人情報データベース」と考えられ、適切な管理と運用が求められることになる。これでは、自社がどんな個人情報を持っていて、潜在リスクがどの程度あるのかを把握するだけでも大変な作業である。実際、ある企業では紛失・盗難の危険性を鑑みて、ノートパソコンに顧客データを保存することを禁止し、必要な場合は本社のデータベースにログインしてオンライン上だけで処理させるようにシステムを改変したと言う。

保護対策と商談獲得はトレードオフの関係？！

　このように、個人情報保護対策は企業として組織的な対応を求められるが、それゆえに多くの課題があるのも事実だ。ITシステムやファシリティに予算をかけて物理的にアクセスできないように対策することで、いくらでも堅牢なシステムにすることは可能だが、それは同時にどんどん利便性を損なうことでもある。
　上記の例でも、たとえば客先でデータが必要になったときに、インフラ上の問題で本社のデータベースにログインできなくて商談が失敗に終わり、「ノートPCにデータが入ってさえいれば」と、悔しい思いをすることだってあるかもしれない。
　こうした例からもわかる通り、大体において個人情報保護対策はビジネスの現場にとっては面倒なものになりがちで、自社のビジネスを遂行する上での利便性とトレードオフの関係にならざるを得ない。企業における個人情報保護対策責任者が最も腐心するのがこの部分である。自社のビジネスを遂行する上での利便性を如何に損なわずに対策・運用をしていくかが大きなポイントと言えるだろう。