今声高に叫ばれている個人情報保護、皆様の会社でも何らかの対策の必要性を感じていると思います。でも一体何をすればいいのかといった具体的な内容については漠然としたイメージしかお持ちでないように思えます。ここでは皆様が気をつけなければならないポイントと、すぐにでもできる対策をご紹介させて頂きます。

１．個人情報保護法と罰則

個人情報保護法は平成１７年４月１日に施行を予定されています。法案を読み解いて分かるように実際に個人情報保護法への違反と認定されても、罰則を受けた場合その企業が受ける社会的なダメージがあまりにも大きいため行政指導といった罰則の手前にワンクッション置く形をとっています。では、具体的な罰則とはどういった内容でしょうか。

個人情報保護法の罰則

• 主務大臣の命令に違反した場合や、報告義務に違反した場合は罰則が科せられる
• 主務大臣の命令に対する違反の場合　6月以下の懲役または30万円以下の罰金
• 報告義務違反の場合　30万円以下の罰金

一見金額的に非常に小さく、財務的な影響はそれほど無いように思えてしまいます。ただ皆様がご存知の通り社会的な信用という、企業活動を行っていく上で最も大切な『信用』という資産が計り知れ程のダメージを受けます。信用が無い会社には他の企業もどんな素晴らしい商品やサービスを提供したとしても相手にされることは稀です。個人情報保護法の罰則規定は罰金以上の重い制裁措置であることをご理解頂いていると思います。

２.最も難しい技術的安全措置

【個人情報の保護に関する法律　第20条】
個人情報取扱業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない
参考リンク： 個人情報保護法
上記法律に基づき、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、
参考リンク： 経済産業省ガイドライン

1. 組織的安全管理措置
2. 人的安全管理措置
3. 物理的安全管理措置
4. 技術的安全管理措置

の観点で対策を講じなければならないとあります。技術的安全管理措置とは個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウエア対策、情報システムへの監視など、個人データに対する技術的な安全管理措置。さらに具体的には、アクセスにおける識別と認証、アクセス権限の管理、アクセスの記録、情報システムに対する不正ソフトウエア対策、移送・通信時の対策、情報システムの動作確認、情報システムの監視など上記概念の中で、外部との情報交換の際のデータ受け渡しがデータ流出の大きな要因とするとVPNや専用線で接続しているような場合には余り問題は発生しないと思いますが、通常業務として電子メールへのデータ添付が普通に制限なく行なわれている現状は大変危険です。

３．対策方法

2.での「技術的安全措置」への対応として以下のように考えられはしないでしょうか？

【ポイント】 電子化された情報は簡易に発信できる

通常企業間では電子的な形式を用いて相互の情報交換がなされている。例えばメールにExcelなどのファイルを添付して相手に送付したり、それを逆に受け取ったりしている。

つまりこの日常利用されている一番簡易な方法、つまりメールにメスを入れることが、ポイントとなると考えられます。しかし実際に通常企業から外部に出るデータの全てを具体的に監視されている企業や、メールが第三者からいつでも閲覧可能であることに気づいていても費用的な面でなかなか具体的な対応が追いつかない企業も見受けられます。何故か？今までは簡易な即効性のある方法が提案されてこなかったからです。

1. 「誰が」「いつ」「どこへ」「何を」送ったかが把握・管理可能な状態にあること
   つまり情報のトレーサビリティが確保による「抑止 措置」がとられていること
2. 安全な通信経路で送受信されること
   つまり盗み見・改ざん・なりすましへの「防止策」が講じられていること

今セキュリティの重要性が声高に叫ばれているのも個人情報保護法を背景とした需要の高まりが具体的にあるからなのでしょう。企業倫理の高まり共にコンプライアンスという観点からも即効性のある個人情報対策は急務であります。2005年4月1日の法の施行後は実際に対応の責任が問われる時代が始まります。