PR

 前回の「個人情報保護から始める内部統制の勧め」では,KDDI事件を題材に,内部統制システム構築の観点からアイデンティティ/アクセス管理ツールなどの技術的対策について取り上げた。今回は,引き続きKDDI事件について,組織的・人的対策の観点から考えてみたい。


現場レベルでの管理体制整備が柱だった「個人情報保護1.0」

 まず比較のために,KDDIよりも前に,同じような個人情報漏えい事件が起きた「Yahoo! BB」の対応について見てみたい。2004年3月4日,当時のソフトバンクBBが発表した緊急対策では,以下のような組織的・人的対策を掲げている(「顧客情報の保護に関わる具体的な対策」参照)。

(1) 全ての派遣会社および従業員に対し,個人情報保護教育を実施する(教育の内容:集合教育,eラーニング,テスト等)。
(2) 全ての派遣会社および従業員と再度誓約書を締結し,情報セキュリティポリシーおよび運用ルールの違反者には処罰を与える。
(3) 業務委託先との契約をすべて見直し,契約書に次の項目を必ず含めて再締結する。

  • 機密保持義務
  • 再委託に関する事項
  • 事故時の責任分担
  • 契約終了時の個人情報の取り扱い
  • 個人情報に関する取り扱い状況の監査権

 基本的には,従業者(従業員,派遣社員など)に対する安全管理措置の周知徹底と教育訓練,外部委託先に対する監督の強化など,現場レベルの対策整備が柱になっていた。例えるなら,「個人情報保護1.0」時代の対策と言っていいだろう。


経営者の説明責任がさらに重くなった「個人情報保護2.0」

 これに対して,KDDIが2006年8月2日に発表した再発防止策では,以下のような組織的・人的対策を掲げている(「お客様情報流出の再発防止に向けた情報セキュリティ強化対策について〈別紙〉」参照)。

(1) 一部部門において取得済のISMS (情報セキュリティマネジメントシステム) 認証を早期に全社で取得すべく,その活動を促進する。
(2) 一部の情報システムについて実施している,内部による情報セキュリティ監査の他,外部機関による監査を他の主要な情報システムについても順次実施する。
(3) 全社員および業務委託先社員に対する情報セキュリティ・コンプライアンスに関するe-ラーニングや階層別研修を実施するとともに,業務委託先の情報セキュリティ責任者に対する研修を全国規模で実施する。
(4) 派遣社員・委託先社員のデータベースシステムを構築し,一元管理を強化する。

 KDDIも,「Yahoo! BB」と同様に,従業者や外部委託先に対する管理監督,教育訓練などを柱にしている。しかし,それらの対策に加えて,経営者の積極的な関与を前提としたISMS認証制度,客観的・継続的なモニタリングを強化するための外部監査など,前回取り上げた内部統制システム構築に深く関わる項目が加わっている点に注目してほしい。Yahoo! BBが対策を発表した2004年当時に比べると,個人情報保護に係る企業経営者の説明責任が重くなっているのだ。

 これで同種の個人情報漏えい事件が再発したら,情報漏えいを起こした現場の当事者以上に,チェック機能を担うべき経営者の責任が問われることになる。内部統制活動が文書化・保存されていたら,その記録を見ただけで経営者の取り組みが分かるので,責任回避もできない。現場レベルの対策改善に加えて,取締役会をはじめとする経営層の継続的なコミットメントが要求される。言わば「個人情報保護2.0」である。

 経営者自身がこのような時代の流れを認識していないとしたら,個人情報を取り扱う現場がいくら頑張っても報われない。個人情報保護対策ツールを提供するベンダー/SIも,企業の情報システム部門やユーザー部門だけでなく,取締役会への進言を念頭に置いた提案やソリューション開発が求められている。

 次回は,商品リコールなど消費者安全対策と個人情報の関わりについて触れてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/