動かないコンピュータForum

第50回 問題の本質は非IT、最後は罰則強化か-その2

動かないコンピュータ・フォーラム 主宰者 中村 建助=日経コンピュータ編集

日経コンピュータを読む理由No.1 「動かないコンピュータ」連載が単行本になりました。全国の書店でお求めいただけます。

フォーラムの主旨と参加ルールへフォーラム・トップへ

 前回の「動かないコンピュータ・フォーラム」では、個人情報の流出・漏洩への対策はシステムの問題ではなく、むしろ罰則の強化などが効果的ではないか、という指摘が多かったことをご紹介しました。今回は残りのご意見を紹介します。

 4月7日にはシステムアナリストの青島さんから、法律の問題について触れた、次のようなご意見をいただきました。



 同じ個人情報であっても、人事マスタが流出・漏洩したというニュースはあまり聞きません。今回、顧客情報を漏洩した会社において、人事マスタと顧客情報について管理体制に違いがあったのかどうか?。。。顧客情報=他人の情報、人事マスタ=自分の情報という違いはあります。やはり、銀行が他人のお金を預かっているのと同じく、情報会社には他人の情報であっても、自己のそれと同等以上に厳密に管理する義務はあると思います。

 それを、定めたのが個人情報保護法だと思います。また、不正競争防止法の改正【営業秘密の刑事的保護】(H16.1.1施行)においても、顧客情報は、営業秘密として扱われ、それらを盗めば罰則が適用されます。しかし、罰則はあっても、万引きが減らないのと同じで、「盗まれないようにする」ことが第一。また、盗まれたら「すぐ分かるように」記録を取り監視する、管理者を限定する。盗まれても、「分からないように」暗号化しておくといった「秘密」としての管理が適切になされていないと不正競争防止法も適用されません。  (システムアナリスト 青島弘幸)

(40代,ユーザー企業,システム企画部門)


 ご指摘のように、今年1月1日からいわゆる改正不正競争防止法が施行されました。改正の目玉の一つに「営業秘密の刑事的保護」があることもご指摘の通りです。秘密を厳重に管理していたかどうかで、法律が適用されるか否どうかが決まる点についてもご指摘の通りです。

 ただし、この法律は個人情報の保護を第一の目的としたものではないため、情報漏洩に対する万能薬と言い切れない面もあるようです。情報の「窃盗」については、もう一段の法整備が必要なのかもしれません。

 すでに政府は4月2日に、業種によってはさらに進んだ個人情報保護のための「格別の措置」が必要だとする基本方針を発表しています。この基本方針は、今後の法整備に何らかの影響を与えるのではないでしょうか。

 4月8日にはこのようなご意見がありました。



 アウトソーシング事業を行っている会社であるが、これだけ事件が発生しているが、完璧な対策を実施しようという動きが見られない。理由は、費用がかかる事と、それなりに注意しておけば、問題が発生しないだろう(自分の乗っている飛行機が落ちるということはないだろうという気持ちと同じ)という事、仮に問題が起こっても何とかなるだろうという日本的な考え方によるものではないかと思う。

 問題の発生を厳密に防止、禁止しないで、問題が起こった時に状況を見て裁量で処置するという事を国が行っており(裁量行政)、企業は、それをまねているのが日本の現状。根が深いと思う。

(50代,システム・インテグレーター,営業部門)


 危機管理の観点から情報流出・漏洩の問題ついて触れたご意見といえるのでしょうか。きちんとリスクを計算した上で、情報流出・漏洩対策にコストをかけるか、かけないかを判断することは重要だと思います。

 とはいえ、一度顧客情報などの流出・漏洩を経験した企業を見ていると、対策のために多額のコストをかけています。1000万円を超す費用をかけるケースもあります。情報流出・漏洩の可能性を下げるための体制づくりは、思ったよりもコストがかかるというのが実態のようです。

 一方で、コストの確保は容易ではありません。あるセキュリティ・ツールベンダーと話す機会がありましたが、「情報流出・漏洩のためのコストは、売上拡大や生産性の向上に直結するものでないため、なかなか購入を検討してくれるユーザー企業は少ない。当社も情報流出・漏洩を経験した企業を中心に営業活動を展開している」というのが実態だそうです。

 いかに情報流出・漏洩に備えた危機管理に必要なコストを合理的に算定し、そのコストを確保するか。システム部門にとっては頭の痛い問題です。

 4月16日には、情報流出・漏洩が原因は単にITにあるのではない、という趣旨のご意見をいただきました。



 個人情報漏洩という問題は、ネットワーク化が進んだがゆえにクローズアップされてきているようだ。つまり、「ITが悪い」的な目で見られがちである。もちろん、技術的な問題もある。

 しかしながら、この問題は随分前からも起こっている。よく自宅にセールスの電話がかかってくるが、「どこで私の名前と電話番号を知ったのですか」と聞くと、「しかるべきところから情報を購入しているので、ご心配無く」という返事なのだ。いやいや、まったくもって心配なのである。社会人としての情報リテラシーを改善することが基本ではある思う。

(40代,システム・インテグレーター,システムエンジニア)


 買う人間がいるから、漏らす人間がいるということでしょうか。最近では携帯電話や電子メールの普及によって、むしろ電話番号やメール・アドレスを含んだ個人情報の商品価値は増しています。情報に対するリテラシーの高まりは、むしろ個人情報の流出・漏洩に対する動機を高めているのかもしれません。

 4月22日にはこのようなご意見をいただきました。



 情報は、ある意味で流通しなければ意味を持たない。機密情報もある範囲の人の中では流通するのである。

 よって、漏洩を防ぐには、セキュリティ強化、倫理教育の徹底と社内賞罰しかないのでは。また経営者層の意識の問題も大きい、教育投資、セキュリティ投資への意識の低さは日本は先進国中最下位なのでは?。

 コンプライアンス教育について、ようやくやりだしたところである日本においては、まだ漏洩が減るかどうか評価するのは、これからの様に感じる。

(40代,ハード・ソフトベンダー,システムエンジニア)


 ご意見はその通りだと思います。「変わる『動かないコンピュータ』――頻発する情報漏洩を考える」と題した記者の眼でも触れましたが、情報流出・漏洩を減らすためには、経営トップの関与が欠かせません。

 情報の差が企業経営に大きな影響を与えるということを認識しているトップは多いはずです。であれば、情報流出・漏洩についても十分な措置を取るべきではないでしょうか。企業統治やITガバナンスという言葉はよく耳にしますが、個人情報の流出・漏洩の可能性を下げるためには、「セキュリティ・ガバナンス」といったものが企業に必要なのではないでしょうか。