VOB7(2008/02/15) 電子化が情報漏洩事故を防ぐ
電子化が情報漏洩事故を防ぐ
パソコンやインターネットの普及、電子化が情報漏洩事故の原因となっているということはいわば常識である。しかし、ここでは、あえて「電子化が情報漏洩を防ぐ」ことを論じたい。本稿は、まず情報漏洩事故の実態と個人情報保護法の安全管理義務について述べ、電子化こそが安全管理の手段であることを結論とする。
情報漏洩事故とは
情報漏洩事故といえば大げさに聞こえるが、現実はもっと身近なものである。日本情報処理開発協会プライバシーマーク事務局の「平成17年度の個人情報の取扱いにおける事故報告にみる傾向と注意点」によれば情報洩れの原因として誤配送等が71.5%、メール配信ミスが7.9%で、これだけで80%である。置き引きや盗難の15.2%を加えると事故の大半が、身近なものであることがわかる。業務に即して具体的に考えてみると、送付先を間違えて書類、FAXやメールを送ってしまった、カバンを置き忘れた、盗まれたなどであろう。注目すべきは、大半がインターネットとは関係がない「ささい」なミスであることだ。
個人情報保護法の規定
個人情報保護法の背景には、電子データの大量性や特性、電子社会の進展があることは疑いない。法律が施行され二年であるが、いまだに誤った解釈があるようだ。その一つが法律の主旨である。この法律は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(第1条)することを目的としているのであり、個人情報の利用や収集を禁止しているものではない。もう一つが、この法律によって安全管理義務が課せられる個人情報取扱事業者の範囲であり「5千件」なければ関係ないというものである。
まず、第一であるが個人情報保護法という名称からか、プライバシー保護一般と同一視し、個人情報の収集、保持、利用の禁止を規定しているかの誤解である。個人情報保護法は収集、利用の禁止を規定しているのではなく、個人情報の利用が有用不可欠であることから、取扱事業者に収集利用について一定の義務を課しているのである。法律の規定する「個人情報の取扱い」とはきわめて範囲が広く、ほとんどの日常業務が、これに該当する。名簿等の個人名の集合物の取り扱いだけが対象ではない。
第二は「5千件」である。法律は個人情報取扱事業者から除外される者を「個人情報データベースを構成する個人の数の合計が過去6ヶ月以内のいずれの日においても5千件を超えない者」と規定している。このデータベースとは電子化されたものに限らず、検索が可能な状態に整理されたものを言う。この5千件とは顧客数や会員数ではない。5千件には受託加工中のもの、税理士でいえば顧客の処理データも含むのである。経済産業省のガイドラインによれば、コンピュータ処理されたものをプリントしたものもデータベースに該当するとしているので、年末調整ソフトから出力したもの等はすべて件数に入るということになる。この他にどこにもある顧客名簿、メールの受信、発信履歴など等を考えると「事業の用に供する」個人情報を数えることはまず不可能である。更に年末調整や給与計算に関しては「雇用管理に関する個人情報」として厚生労働省の告示があり、これらを受託すれば、この規定による義務も間接的に発生する。
これらを考えると個人情報保護法上の義務者であるか否かは関係なく、個人情報保護法に準拠した業務のあり方を考えなければならない。情報洩れは、内容によっては当事者にとってのダメージは決定的である。
安全管理とは
では、法律はどう規定しているのであろうか。「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のため必要かつ適切な措置を講じなければならない」これだけである。この点では主務官庁がガイドラインを作成することになっており、各省庁から公表されている。ガイドラインの中でも最も詳細なものが経済産業省のそれであり市販の解説本のほとんどが、これに沿ったものとなっている。しかし、いずれも記述が大企業向けであり、そのままでは中小企業や税理士事務所には関係がないか、あまりにもハードルが高い。しかし、税理士事務所が取り扱う情報の量、重要性から考えると法律上の義務の有無にかかわらず、安全管理は必須である。安全管理とは「漏洩防止」と「滅失予防」である。滅失の予防とは、紛失しないこと、データを壊さないことということになるが、ここでは特に漏洩防止について考えてみたい。
電子化こそ安全措置
先に述べたように、漏洩原因の大半は、ささいなミスである。しかし、どれだけ注意しても、間違いは起きうる。しかし、間違って送信(送付)しても相手が、これが読めないとなったらどうだろう。書類を盗まれたとしても取得した者が、内容が読めないとしたらどうだろう。こんなことは書類では不可能であるが、電子データでは、このような措置が簡単である。
このように、正当な権限がある者だけが、その情報を見ることができるようにする措置を広い意味でアクセス管理と呼ぶことができる。アクセス管理というと難しそうであるがそうではない。鍵付きの書庫に書類を入れておけば、それは鍵を持っている者だけがそれを見ることができる。この権限の委譲は鍵を渡すことで簡単である。アクセス管理がなされていれば、ミスがあったとしても情報漏えいは防ぐことができる。電子申告時代の到来である。業務の多くが益々電子化する一方で、電子データやパソコン、インターネットへの不安の声も聞く。しかし、普通に注意すれば電子の方が安全である。
例を挙げよう。家に鍵をかける、重要な書棚に鍵をかける、これは当たり前である。しかし、パソコンの起動管理はどうなっているだろうか。パソコンも鍵がなければ起動しないようにしておけばよい。この鍵が「パスワード」では不安だし、第一面倒である。「鍵」とは、これがないと、パソコンが起動しないようなものであり、周辺機器として、またはソフトウエアとして各種販売されている。この「鍵」は現代の技術では家の鍵や書架の鍵を壊すより難しい。
電子化の優位性は暗号化にもある。電子データは暗号化が簡単である。税理士の業務では資料の収受、申告データの受け渡しなど、顧問先とのデータのやり取りが日常的である。これも可能なものすべて電子化すれば暗号が使える。暗号と言ってもおおげさに考える必要はない。従来であれば専用線の架設が必要な安全がインターネット技術の進展で、高度な技術や知識も必要なく誰でも手に入る。
積極的な業務の電子化で、情報漏洩事故を防ぐことができる。
