PR

 「ISMS(情報セキュリティ・マネジメント・システム)認証を取れば、個人情報保護法対策をカバーできると考えるのは不勉強だ」。企業法務に詳しいニフティ法務部の鈴木正朝シニア・スペシャリストはこう指摘する。

 来年4月の個人情報保護法施行に向け、企業は対策を迫られている。個人情報といえば、漏洩事件が大きくクローズアップされているため、セキュリティ対策に偏りがちだ。このため、ISMSを取れば一安心と考える傾向が企業にはある。だが鈴木氏によると、ISMSと個人情報保護法対策は実際には8割くらいしか重ならないという。個人情報保護法に準拠するためには、個人情報の利用目的を管理したり、本人に個人情報の開示や変更、利用停止を求められた場合の社内体制を作る必要がある。これらはセキュリティとは関係ないため、ISMSではカバーできない。

 鈴木氏は、セキュリティ以外の個人情報保護法対策にも落とし穴があると警告する。「個人情報保護法対策では、個人情報の取得時に利用目的をいかに明示するかが注目されがちだが、これは力仕事で済む問題で、実はあまり大変ではない」。むしろ問題なのは「データベースでの管理」だという。例えば1万人にダイレクト・メールを出そうとした場合、利用目的の範囲内で出せるかどうかをすべての個人情報についてチェックしなければならない。複数の異なった利用目的を持つ個人情報が単一のデータベースに混在している場合、チェック作業は大変だ。利用目的を管理することを念頭に置いていないデータベースだと、事実上、個人情報の利用は不可能になってしまう。つまり、個人情報保護法への対応は「データベースの設計に関わる問題」(鈴木氏)なのである。

大森 敏行=日経コンピュータ