JISQ15001(05年7月号)

JISQ15001

個人情報保護法が完全施行されてから、個人情報漏洩に関する報道が続いています。去る5月24日には、大手情報通信会社による全社員(1万1835人)の個人情報の紛失が公表されました。

同社によると、4月下旬、社員1人が自宅で作業を続けるため、会社のパソコンから上司の許可を得ずに、社員の所属や役職など約20項目の情報をUSBメモリーにコピーし、持ち帰りました。しかし、帰宅途中にこのUSBメモリーを入れた鞄を紛失してしまったとのことです。同社では、無断で社内情報を持ち出すことを禁じていました。

同社は以前にも、運営する不動産売買の情報サイトの顧客4312人分の個人情報を外部に流出させています。サイト運営を委託した企業の社員が、顧客情報を記録したパソコンを入れた鞄を通勤中の電車の網棚に置き忘れたとのことです。かつて委託企業が犯したミスを、今回は本社の社員が犯したことになります。

個人情報漏洩事件では、悪意・出来心による場合よりも、今回のような不注意やスキル不足、無知による場合が圧倒的に多いと言われています。

個人情報保護に関する第三者認証のわかりやすい仕組みとして、プライバシーマークがあります。プライバシーマーク制度とは、JIS規格のQ15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」に準拠して個人情報の取扱いを適切に行っている民間事業者に対し、プライバシーマークの使用を認める制度です。

JISQ15001の要求事項では、個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩など)に対して、合理的な安全対策を講じなければならないとしています。
これは、経済的に実行可能な最良の技術の適用に配慮する必要があるということです。その会社にとって経済的に実行可能な最良の技術とは、客観的に定められているわけではなく、社長がセキュリティレベルを決定しています。

つまり、プライバシーマークを取得していても、一定の基準をクリアしているだけで、漏洩事件を起こす可能性は十分にあるのです。実際に、上述したような漏洩事故が起きています。

今回、個人情報を紛失した大手通信会社では、指紋認証装置を使った入退室管理を実施していました。しかし、たった1人の社員の行動が元となり、会社に対する信頼を失墜させることになってしまったのです。結局は、人の問題ということでしょうか。