PR

 前回の「保護法の検討課題で浮かび上がった企業の法務リスク」では,国民生活審議会個人情報保護部会が公表した個人情報保護法の検討課題を取り上げた。今回は,同じ日に総務省から公表された,行政機関・独立行政法人向けの個人情報保護法の施行状況調査について触れてみたい。

問われる「官」の個人情報管理体制

 2006年9月22日,総務省は「平成17年度における行政機関・独立行政法人等の情報公開法及び個人情報保護法の施行状況調査の概要」を公表した。情報公開法の調査は,今回で行政機関で5回目,独立行政法人等で4回目だが,個人情報保護法については法施行後初回の調査となる。

 調査結果で「個人情報の漏えい・滅失・き損事案の状況」の項目を見ると,2005年度に漏えい・滅失・き損が発生したと認められる事案の件数は,行政機関320件,独立行政法人等855件の合計1175件となっている。行政機関で事案の件数が最も多いのは厚生労働省の133件(全体の41.6%),独立行政法人等では日本郵政公社の615件(全体の71.9%)となっている。

 ちなみに,内閣府が公表した「平成17年度個人情報保護法施行状況の概要 」によると,同年度に民間の事業者や団体などが公表した個人情報漏えい事案は合計1556件である。この資料によると,厚生労働省の所管分野における民間事業者からの個人情報漏えい事案件数は69件となっている。これらの事業者を監督する厚労省側の漏えい事案件数が133件というのは多過ぎるだろう。

 その上,本連載の「情報流出で露呈した私物パソコン頼みの職場環境」で触れたように,ファイル交換ソフトによる業務データ流出事件を通じて,個人所有パソコン無しでは業務が遂行できない状態の行政機関が多いことも明らかになっている。「民」を所管する「官」の個人情報管理体制はお寒い状況だ。

省庁横断的な個人情報保護対策版ITILの構築を

 ところで,行政機関や独立行政法人の間では,情報システムをはじめとしてアウトソーシング・サービスの利用が進んでいる。

 総務省の調査結果によると,受託業務従事者が契機となった個人情報漏えい事案が行政機関で5件(全体の1.6%),独立行政法人などで133件(全体の15.6%)となっている。これに対し,内閣府の資料によると,民間事業者の個人情報漏えい事案1556件のうち委託先から漏えいしたケースが358件(全体の23.0%)となっている。これらの結果からは,行政機関で業務の外部委託が進めば進むほど,個人情報が業務委託先から漏えいする危険が増加することが予想できる。

 だが,関係省庁連絡会議を開いて個人情報保護の徹底をトップダウンで促したところで,自前主義を前提として業務を行ってきた現場の職員に,いきなり外注を前提とした業務プロセス管理をやらせてうまくいくはずがない。外部委託先との共同作業を前提とした,省庁横断的な個人情報管理ノウハウの蓄積が必要になってくる。

 日本のIT業界で浸透してきたITIL(IT Infrastructure Library)は,もともと英国の政府機関がITサービス管理・運用規則に関するベストプラクティスを体系的にまとめたガイドラインであり,それが民間に普及していったものである。同様に,日本の行政機関が協力して,個人情報管理に関するベストプラクティスをまとめる動きがあってもいいのではないか。政府機関ごとに国民の個人情報保護対策の要求レベルが異なる状況だけは避けてほしいものだ。

 次回は,第38回および第39回で取り上げた内部告発者の個人情報保護をめぐる最近の動向に触れてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/