|
企業は自らが抱える個人情報が流出する危機にさらされている。個人情報が漏洩すると、どのような損失を企業は被るのだろうか。
直接損失としては、情報漏洩の実態を調査するための費用、顧客に対する謝罪金、営業自粛による収入減、訴訟となった場合の弁護士費用などが発生する。
間接損失としては、コールセンターなどの対応窓口設置によるコスト増、社会的信用の失墜、組織の信頼やブランド・イメージの低下、行政処分によるビジネス・チャンスの喪失などが考えられよう。一度、失った信頼を回復させるためには大変な労力が伴う。
このように、個人情報がひとたび流出すると企業経営に大きな影響を与えかねない事態に発展する可能性がある。だが、「漏洩対策は手つかずの企業が多いが、いったん被害に遭うと、最優先で取り組みを始める。その隔たりは大きい」と富士通アウトソーシング事業本部セキュリティサービス統括部の西見俊彦プロジェクト部長は指摘する。
そうした状況の中で、今年4月1日に「個人情報の保護に関する法律」(いわゆる個人情報保護法)が完全施行された。情報漏洩事件が発生して裁判になり、個人情報保護法にも違反していると、どの程度の損害賠償額が求められるか想像がつかない。金額もさることながら「今後、訴訟を起こす人がかなり増えるのではないか」と西見プロジェクト部長は推測する。一人当たりの賠償金が少額であっても、対象が増えれば莫大な金額になってしまう。
個人情報を窃取した者に対して、刑法の窃盗罪は問えないことが多いという法律の現状もある。窃盗罪は他人の「財物」を盗んではじめて罪を問うことができる。ところがコンピュータ・データを自己の媒体にコピーしただけの場合、他人の「財物」はなくなっていないことから窃盗罪は成立しないのだ。刑事罰に問えないがため、情報窃取の抑止力が弱い点があることも否めないだろう。
そこで、企業は自社が抱える個人情報を故意にせよ、不注意にせよ漏洩させないための対策作りが必要になる。ところが情報漏洩対策のコンサルティングを多く手掛けてきた西見プロジェクト部長によると「情報セキュリティ・ポリシーを作ったは良いが、その段階で止まって、具体策まで行かないところが多い」と警鐘を鳴らす。逆に「中小企業になると漏洩対策システムを入れただけで、なかなか組織的対応にまで踏み込めないことが多い」(同氏)。
これでは、個人情報漏洩対策を進めるためのPDCA(plan、do、check、action)サイクルが回らない。本来なら、セキュリティ・ポリシーを策定(plan)して、対策を実施(do)。その結果を監査(check)して、問題点があれば改善(action)となる。
 しかも、一度施してしまえば片が付いた「2000年問題」と違って、情報漏洩対策には終わりがない。個人情報保護法は漏洩防止だけを目的とした法律ではない。個人情報の開示や苦情に対する問い合わせに応じる必要もあり、その措置も必要だ。
さらに対策の基準は年々変わっていく可能性がある。個人情報保護法を受けて、各省庁は具体策を盛り込んだガイドラインを定めている。現在のガイドラインは定めてから日が浅く、各省庁で“温度差”がある。ガイドラインは見直されていくので、今後、足並みをそろえるべく、変更していく可能性はある。また、何らかの情報漏洩事件が起きた場合には、その対策としてガイドラインが厳しくなる可能性もある。
また、現在は個人情報の扱いが特に注目されているが、「個人情報だけではなく、重要な経営資源である技術情報などの営業秘密の管理についてもこれまで以上に厳密さが求められる」と富士通ソフトウェア事業本部フロンティアセキュリティインフラプロジェクトの垣内立身プロジェクト長は指摘する。
さらに2005年6月29日に閣議決定された「不正競争防止法等の一部を改正する法律」のように、営業秘密の侵害行為における法人の責任を重くするなどの営業秘密の保護強化などが図られていることも念頭におくべきだろう。
このように、情報漏洩対策は一度取り組めば終わりというものではなく、社会の動きとともに常に見直していかなくてはならない。そのためにもPDCAサイクルを支えるための組織化は欠かせないのだ。それには社員一人一人に対する意識付けが大事だが、組織的に対応する必要がある以上、何よりもトップの意識改革が不可欠だ。 |
