PR

 前回は,横浜市病院経営局の事例を取り上げた。医療分野のリスク管理に大きな影響を与えたものに,「米国医療の質委員会」が1999年に発表した「TO ERROR IS HUMAN: Building a Safer System(邦題名『人は誰でも間違える-より安全な医療システムを目指して』)」という報告書がある。この報告書に出てくる「人間は誰でも間違える。しかし,間違いを防ぐことはできる」という言葉は,そのまま個人情報管理にも当てはまる。

 横浜市病院経営局では,平成19年度患者満足度調査結果を発表しているが,「プライバシー保護」に対する評価は決して高いものではない(「患者満足度調査」参照)。情報流出につながるミスを起こした個人に責任を帰するだけでは,地域住民からの信頼を得られない時代になっていることを認識すべきである。

 さて今回は,外部委託先管理の視点から,個人情報保護法の施行後,浮き彫りになった課題点を考えてみたい。

年度末の多忙期に起きた下関市立大学の個人情報流出の悲劇

 2008年4月4日,公立大学法人下関市立大学は,教務システムに関するデータが格納されたパソコン,USBメモリー,ハードディスク・ドライブなどが盗難に遭い,これらの中に同学の在校生,卒業生,保護者などに関する個人情報が含まれていることが判明したと発表した(「日本電気株式会社が受注したシステムに関する情報が入ったパソコンなどの盗難について」参照)。業務を受注したNECの再委託先である日本事務器の女性システムエンジニアが,大学での作業終了後,宿泊先への途中でファミリーレストランに立ち寄り,夕食をとっている間に,車上荒らしに遭い,パソコン,記憶媒体,私物などが入ったバッグごと盗まれたというものだ。

 新聞報道によると,このエンジニアは,年度替わりに伴うデータ書き換え作業を担当しており,宿泊先で手順を確認するためにデータをコピーしていたという。盗難発生日時をみると,2008年3月31日午後11時30分頃となっている。まさに年度末の多忙期の頂点で事故が起きたことがわかる。

 委託元および委託先の許可を得ないまま,再委託先の現場担当者が個人情報を含むデータを外部に持ち出す。あきらかに個人情報保護ルール違反であるが,再発防止のためには,大学の外で作業しなければ納期に間に合わない状況でなかったか等,事故の背景情報を含めて分析する必要がある。さらに,労働時間,安全衛生管理,ワークライフバランスなど,人事コンプライアンスとの整合性が問題となるケースも想定されるので,慎重な対応が求められる。

NECに求められる委託先管理の「隙間」克服

 下関市立大学から業務委託を受けたNECにとっても,地方自治体関係プロジェクトの外部委託先管理は鬼門のようである。第47回で触れた京都市立病院のパソコン盗難による個人情報流出,第101回で触れた秋田県北秋田市のファイル交換ソフト「Winny」を介した住民基本台帳からの情報流出と,同社では毎年,委託先に起因する個人情報流出事件が起きている。

 特に住民基本台帳からの情報流出事件は,第122回で取り上げたように,大日本印刷個人情報漏えい事件(第121回参照)と並び,経済産業分野の個人情報保護ガイドライン改正論議の発端となった。しかも経済産業省は,今年の3月1日に,委託先,再委託先に対する委託元の監督責任のあり方について具体的に明記した改正ガイドラインを施行させたばかりである(「『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』の一部改正について」参照)。

 「多くの事故は『隙間』で起きる」という失敗学の言葉がある。最先端の情報セキュリティ技術を有するNECを持ってしても,官と民,委託元と委託先,職場内と職場外など,様々な『隙間』が重なったところから個人情報が流出する事態を招いている点が注目される。

 NECは,「内部統制システムの整備に関する基本方針」の「取締役の職務の執行に係る情報の保存および管理に関する事項」で,「個人情報については,法令および『個人情報保護規程』に基づき厳重に管理する。」と明記している。このことは,個人情報保護法と会社法の内部統制システムの『隙間』の問題にも関わってくる。「協調型セキュリティ」を標榜するNECには,まさに経営課題として,委託先管理の『隙間』を克服するイノベーションの創出が求められている。困難な課題ではあるが,成功すれば,企業のみならず社会全体に付加価値をもたらすはずだ。

 次回は,通信の秘密と個人情報保護の『隙間』の問題を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/