個人情報保護(経産省の指針)


保護法を個別企業が具体的に運用する際のガイドラインを業界別に作成する動きがあります。金融界では、金融庁や全銀協が指針を作る予定ですが、どうも乗り気ではないようで、余り進んでいないそうです。全銀協としては、年内にも作成できたらという動きです。来春施行ですので、間に合うのかという感じもしますが、銀行としては20年もの間、取り組んできたことなので今更ということがあるのでしょう。

その点、経済産業省は熱心で、かつ迅速です。日経新聞16年6月16日号には、保護法の対象となる個人情報を定義し、それを5千人分以上保有する企業に対して、漏洩等を防止する具体的対応策を列挙するとともに、態勢不備で事故・悪用等が発生した場合の罰則なども網羅しています。

罰則付となると、指針とはいえず法律そのものです。保護法では、主要産業には、別途、業種別の施行規則が必要な旨が補足されていますので、立法上の問題はありませんけれど。

経産省の指針は、よくできています。しかし、ISMS認証基準を企業活動における具体的な項目で列挙しただけとも言えます。小売業や通販業者、通産系ノンバンクなど個別業種別に指針を作るとなると大変な労力ですし、その維持・更新まで考えると行政が対応しきれるのかという現実問題となります。業種・個別企業によって、扱う商品・チャネル・プロセス・組織・顧客基盤など全てが異なります。共通部分と個別部分を切り分けるのも難しいでしょう。結局はISMSのように汎用的なテンプレートで「XXXを考慮すること」という表現にならざるをえません。それでも、ISMS基準の網羅性には感心します。例えば、コア・オペレーターが脅迫を受けて情報漏洩を強要された場合への対処も考えておくように明記されています。日本人の発想ではないです。海外のデータセキュリティ製品開発ベンダーの話を聞きますと、まるでルパン三世の漫画や刑務所の脱獄防止対策と同じ発想に思えます。常に、次の手を考えています。諜報活動に関する経験・知識・歴史の差を感じます。筆者は外資系に長く勤務したので、機密情報取扱いに関しては、厳しい環境に慣れているつもりでしたが、イスラエルや米国などのレベルには驚かされます。

筆者が最近気にしているのが、行政における情報漏洩です。最近、政治家の社会保険料未納、未加入情報が随分とマスコミに流出しました。出所は社会保険システムを検索できる所しかありえないので、どういうことかと疑問に思っていました。警察官が知人に頼まれて特定個人の犯罪履歴情報を漏らすという事件も時々公になります。住基台帳導入の際に、プライバシーの問題を指摘する声が多く、それが個人情報保護法制定に繋がった訳ですが。私は、昔から個人情報保護法の必要性を唱えてはおりましたが、住基台帳の時にはプライバシー問題はさしたる問題ではないと思っていました。ところが現業を担当する行政機関には大勢の職員がおり、それぞれが左右を含めた政治思想を持っています。公務員の守秘義務よりも政治理念を優先したり、対価目当てに情報漏洩をする職員が多少は出ても不思議ではないことに気づいたのです。行政の組織的プライバシー侵害に気を取られていたということです。

社会保険庁の場合でも、漏洩犯人探しは行なわれたようです。しかし、該当しそうな職員が余りに多すぎて、絞ることすらできないという話をマスコミの人から聞きました。そこで行政機関の情報システムにおける検索方法・規則を二、三調べてみますと、全くの性善説です。銀行ですと、営業店で検索できる範囲は、その店の顧客だけとかに限定されているのですが、調べた機関では全面オープンです。アクセス・ログも対象DBが判るだけですから、現業で大勢が使っていれば誰がどのデータを検索したか特定しようがありません。民間にとやかく言う前に行政の情報漏洩対策が先だろうと思います。民間は、放っておいても漏洩による損失を考えて、必要な施策をとります。個人の方も、何かあれば賠償や取引停止などの制裁手段があります。行政となると、多くは泣き寝入りですし、仮に賠償金をとってもそれは税金からの金です。公務員の守秘義務違反に対する罰則規定も効果的とは思えません。

DBセキュリティの商品販売やコンサルをしている企業は、まずは行政機関に売り込むべきでしょう。また、マスコミは、各機関の情報保護態勢を簡易版でよいのでベンチマーキングして公表すべきです。