個人情報を流出された本人はどのような被害を被るか。前回と前々回の記事で実際の例をいくつか紹介しました。今回の記事では流出源が事業者だった場合を想定し、事業者としてあらかじめ自覚しておくべき心構えについてお話しします。

個人情報はどこから何が原因で流出するのでしょうか。2008年上半期に実際に起こった情報セキュリティ事件を集計した調査報告によると、漏洩原因は多い順に次のようになっています。

その他（14.4％）の内訳は、不正な情報持ち出し、設定ミス、ワーム・ウイルス、バグ・セキュリティホールなどとなっています。

これからどのようなことが分るでしょうか。盗難やウイルスなどの場合、直接の原因はそれらを行った（あるいは仕掛けた）犯人にあり、事業者はいわ ばその被害にあったということが可能です。一方、誤操作や紛失・置忘れ、管理や設定のミス、不正な持ち出しなどは内部の問題に起因するものです。そして、内部の問題に起因する事例が8割に達しているのです。盗難やウイルスについても、その防止は内部の安全管理体制によるところが大きいことを考えると、内部問題の重要度はより高いといえます。

実際に個人情報を流出させた組織には内部管理に種々の問題があるという指摘があります。ここでいう内部管理とは組織体制や管理システムだけに限ら れるものではありません。それと同等あるいはそれ以上に重要なのが人の問題です。組織の内部管理も結局は人が行うという視点からいえば、情報漏洩は要は人の問題です。個人情報保護の対策は仕組みと人の双方に焦点を定める必要があります。

具体的な組織の内部管理対策ポイントとして、例えば次のような事項を挙げることができます。

1. 経営者の関心度
2. 個人情報保護の責任と役割の組織化
3. 個人情報保護規程の整備
4. 情報システムの安全強度
5. 教育訓練
6. 流出徴候のモニタリング
7. 監査・検査の実施
8. 企業文化の改善

管理の仕組みを作ったうえで、人がそれを十分に自覚して実行するというのは、どんなマネジメントシステムにとっても基本的とされるありかたです。個人情報保護においても、組織として実効性のある対策としては同じ考えが求められます。

今回の記事は次の資料を参考にしました。

• NPO法人日本ネットワークセキュリティ協会「2008年上半期情報セキュリティインシデントに関する調査報告書」
• 宮崎貞至『図解いますぐ使える個人情報保護マニュアル』（ぎょうせい、2005）

（行政書士　関戸幸一）