日本ヒューレット・パッカード株式会社(以下、日本HP)は7月1日・2日の両日、「HP WORLD Tokyo 2004」をグランドハイアット東京で開催した。2日には、「事故想定社会における企業のセキュリティ・マネジメント~個人情報保護と情報セキュリティ対策~」をテーマに、日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長 佐藤慶浩氏が講演を行った。
|
日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長 佐藤慶浩氏
|
|
情報セキュリティ対策と個人情報保護法対策の違い
|
個人情報保護法が2005年4月に施行される。この期限までに、企業では個人情報保護法を順守できる体制作りが求められる。
個人情報保護法の対象は、5000名以上の個人情報を取り扱う場合とされ、こうした企業には、すでにIT資産としての個人情報が存在する場合がほとんどだ。また関連業務がアウトソースされている例も多い。同氏はこうした条件のもとで、対策を行うための前提になる点と、対策を進める上での課題、手順などについて講演を行った。
まず同氏は、「一般的な情報セキュリティ対策と、個人情報保護法対策は、重なる部分もあるが明確に違うもの」とした。情報セキュリティ対策では、まずポリシーを定めて、標準や手順などの実装をビジネス要件とバランスをとって順次行っていくことができる。しかし個人情報保護法では、「顧客情報はあくまで預かっているだけで、顧客が指定したとおりに保護・取扱いしなければいけない」ため、現場での対応手順までを一挙に確立する必要がある。そして通常のセキュリティ対策と違い、「自社のビジネス要件による都合で、実施を判断することはありえない」とし、この点が大きな違いになるとした。
しかしながら現実に対策を実施する上では、「セキュリティ対策をせずに個人情報保護対策だけを行うのは困難、不可能で、情報セキュリティ対策の上に個人情報保護対策が載る形になる」という。続けて同氏は「すでに機密情報管理の体制が徹底していれば、個人情報を機密情報として取り扱えば個人情報保護対策できることになる」とした。
しかし一口に機密情報といっても、個人情報に限らずさまざまなパターンが想定される。「自社の情報なら、もし漏えいしても自社が泣けばよいが、他者の場合は損害賠償が請求されて金銭的な損失が起きる」と述べ、また「個人情報についても他者の機密の一部に位置づけられる」とした。
そして情報セキュリティ対策は「現場に一元的な対策手順を適用できれば理想的だが、情報の質や扱う組織がまちまちなために現場にある程度の裁量を与えるモデルになる」とする一方、個人情報保護の対策では「取り扱う情報の中味が特定されており、具体的かつ詳細に強制力を持ったルールの適用が比較的実現できるはず」とし、「またやらなければ来年からは義務違反になってしまう」と述べた。
企業における業務の視点から個人情報のライフサイクルを見ると、取得、保管、加工、利用、廃棄といったフェーズに分けられる。このうち保管、加工、利用、廃棄については「個人情報だからといって、通常の機密情報と取り扱いが違う点はない」という。
特に問題になるのは取得するときだ。同氏は「利用目的についての了解を得ることはもちろんだが、利用を予定している必要最低限の情報だけをもらうべき」とした。「例えば住所ならサポートやサービスを直接提供する目的があるか、また生年月日の情報も、通常なら年齢層の調査ぐらいにしか使わないはず。使う可能性がある程度なら、もらわないほうがよく、入り口を狭めることが重要になる」とした。
|
短期・中長期目標といっても、法施行の2005年4月までがタイムリミットだ
|
体制を確立する上では、まず個人情報取扱の原則として中長期の目標設定となるドキュメントをまとめる。ここでは「何をどうすれば保護したことになるのかが、互いに食い違っていることがおうおうにしてあるため、目的意識を共通認識化して、言葉の意識のずれをなくす必要がある」とした。
その後方針を定めるわけだが、ここではその期間と目標レベルを設定する。また達成度を計測する方法もあわせて定める。同氏は「基本的に日々改善することになり、これを数字で定量化できないものは改善できないと思うべき」とした。
その後、現状と目標の差分を知るため、現状を分析する。関係者の数や保護対象となる情報とシステム、運用体制、そして外部パートナーとの契約内容といった状況の把握が必要だ。ここでは「関係者の意識を把握する際、日本では配慮すべき点がある」という。「日本では住民票登録を見れば住所がわかってしまうため、DMくらい来ても構わないとの意識がある。こう考える人が対策を行うのは難しい」とし、「意識の啓発を主体的にやらないとうまく対策できない場合もあるだろう」とした。
そして現実的に中長期目標を達成するために、まず中間ポイントとして短期目標を設定する。これを設定するがゆえに中長期目標はある意味理想論でもよいという。ここで中長期目標の優先度と、対象業務や対策を開始する特定部署などの組織、そして情報といった適用範囲を選定する。これらは人、プロセス、技術といった経営資源に基づいて設定することになる。
同氏は「対策できない部署からは、必要となるヒト、モノ、カネの報告も、この時点で申告してもらうことになる」とした。この申告に対して経営資源の割り当てを判断する。そして個人情報保護法は罰則を伴う法律であるため「対策が実現できなければ、事業撤収の可能性も視野に入れなければならなくなる」とし、これを念頭に置いて、対策の実現性を問わねばならないとした。
HPでは、こうした個人情報保護法対策についての外部支援サービスも提供している。
また事故発生後の対応についても触れた。同氏は「無許可アクセスは防げても、与えられた権限での不正は業務に支障をきたす。例えばデータをバックアップするオペレータに悪意があれば防げないため、事故発生を100%防止することは不可能」とし、事故対応の体制を1メニューとして組み込むことが現実的とした。
また事故発生時には「遅延なきノンストッププロセスが求められる」ため、事前に計画を策定しておく必要がある。しかし「計画外のことが起きたときの例外対応が、計画と180度違うプロセスが必要になるのが事故対応の難しさで、例外時には個人による個別の判断が求められる」とした。そして「計画外へと移るタイミングを誰が意思表明するのかも計画に入れておくべき」とした。
対策を実現する上での人の重要性について、同氏はブロークンウインドウ理論を挙げた。これは「マンションの窓にひびが入っていて、それが放置されていれば、そこには管理人がいないとみなされる。ついには窓が割られ、ゴミは投げ入れられと、行為はよりエスカレートしていく」との考え方。
同氏によれば、「昨今の警察でも常識となっており、軽犯罪の取り締まりが凶悪犯罪の減少につながるとされている」という。同氏は「例えば離席の際にパスワードロックをしていない、社外秘の情報を机に出したままにしておくといった、ささいなことを注意しあえるような環境作りから、意識が醸成されていくことの延長線上に、情報漏えいの防止があるのではないか」との考えを示した。
次に同氏は、「小規模企業の多い下請けに任せれば、リスク転嫁の連鎖だけが発生し、情報漏えいが潜在化するだけ」とし、自身も法案の策定に関わったという個人情報保護法では、その文面に「委託先に関しての安全管理措置の内容は発注者が定める」と記されていることを挙げた。
最後に同氏は「企業では個人情報を活用することに目的があり、保護のためにビジネスするわけではない」とし、「適正に活用するために保護する考え方がないと現場は予算化できない」と述べた。そして顧客の側でも「保護を期待しているわけではなく、情報を預けていることが生む何らかの利益、サービスを期待しているはず」とし、講演を終えた。
■ URL
日本ヒューレット・パッカード株式会社
http://www.hp.com/jp/
HP WORLD Tokyo 2004
http://www.hpworld2004.jp/
( 岩崎 宰守 )
2004/07/05 14:36
|