PR

山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長

 『会社のノートPC(パソコン)を持ち出して紛失し,“○○万件の個人情報漏えいの恐れがあるPC紛失事故が発生した”という報道が後を絶たない。ところが実際のところ,Windowsパスワードをかけただけなど対策が不十分な場合でも,コストをかけて十分に情報漏えい対策を施していた場合でも,公表,謝罪する必要があるようだし,報道される内容もあまり変わらない。シン・クライアント採用以外で,ここまで対応したら大丈夫というセキュリティ・レベルの目安のようなものはないか。アドバイスしてほしい』。ある企業のシステム管理者から,こんな相談を受けました。確かに,コストを掛けて個人情報の情報漏えい対策を施していても同じトーンで報道されるとしたら,その企業は報われないと感じるかもしれません。

 そもそも暗号化を施した個人情報であっても紛失が問題視されるようになった原因は,経済産業省が管轄業界向けとして2004年10月に策定した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」だと言われています。ガイドラインでは,『「個人に関する情報」は,氏名,性別,生年月日等個人を識別する情報に限られず,個人の身体,財産,職種,肩書等の属性に関して,事実,判断,評価を表すすべての情報であり,評価情報,公刊物等によって公にされている情報や,映像,音声による情報も含まれ,暗号化されているかどうかを問わない』とされています。

“十分な秘匿性”があれば事後対応は軽くなる

 ただ,ガイドラインは必要に応じて,もしくは時代の要請に応じてアップデートされています。例えば2007年3月には,いわゆる「過剰反応」や「事業者の過剰な負担」の問題対応のために,『「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正について詳細』が公開されました。最新版は,2008年2月29日に改正されたものです。

 この改正に伴って,上記の暗号化にかかわる表現が変更されました。『暗号化等によって秘匿化されているかどうかを問わない』という文章に続けて,『(ただし,「2-2-3-2,安全管理措置(法第20条関連)」の対策の一つとして,高度な暗号化等による秘匿化を講じることは望ましい。)』と但し書きが追加されています。

 さらに,“高度な暗号化等による秘匿化”を講じた企業側のメリットも示唆されています。ガイドライには個人情報の漏えい事故が発生した場合に望まれる6項目の対処内容が例示されていますが,高度な暗号化によってこの一部を省略しても良いことになっています。