2005年4月から個人情報保護法が完全施行される。これにより、企業は個人情報の取り扱い方が厳しく問われるようになる。そこで、経済産業省は個人情報保護法への対応策策定を支援するガイドラインを公表した。このガイドラインでは抽象性を排除し、具体策を定義しているというが、民間の目から見るとまだ甘い点もある。そこで、これまで述べてきたような行政・民間共同の啓蒙活動や研究会のアウトプットが重要になるわけだ。日本ネットワークセキュリティ協会理事ならびに日本セキュリティ監査協会理事の井上陽一氏、経済産業省情報セキュリティ政策室の田辺雄史氏が、今後のセキュリティの在り方を語った。
|
個人情報保護法に関するガイドラインの問題点とは
--第2回は、個人情報保護法の施行と、その情報セキュリティ監査の考え方のところでお話が終わりました。法の施行まであと9カ月ということもあり、先に発表されたガイドラインとそれを受けた企業の動きも活発化していると思いますが、これについてはいかがでしょうか。
田辺氏: 各企業については、「どういうものなのか」「何をすればいいのか」という疑問に突き当たっていると思います。これまでのガイドラインは「こうしましょう」というレファレンスモデルで、「どの対策を、どれくらいのレベルまでやればいいか」という実例レベルにまで落ちてきていませんでした。そこで、いま策定している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、実例やベンチマークを意識して作っています。これを公表し、パブリックコメントを寄せていただきました。このガイドラインは経済産業省が管轄する産業分野を対象にしたもので、いま述べたように、レファレンスモデルから、具体的な対策事例や定義を入れ込んだプラクティスに落とし込んでいます。
井上氏: 私もパブリックコメントを寄せました。
田辺氏: ありがとうございます。
井上氏: ああいうガイドラインを経済産業省が先駆けて公表したというのは、世の中に対する影響力からいうと大変大きいと思います。そこで少し厳しい意見を申し上げると、確かにいろいろ工夫されているのはわかるのですが、客観的に見ると「やはりまだレファレンスモデルだな」と思ってしまうんですよ。なぜかといえば、「範囲」や「程度」といった表現が散見されて、「では、その“範囲”ってどこからどこまでなの?」とか疑問が残るんですね。
田辺氏: ご意見ありがとうございます。耳が痛い話ですが、そのような箇所があるのも事実です。だから我々も、これが完成形だとは思っておらず、皆さんのご意見をいただきながら、改正を重ねていく予定でいるんです。
井上氏: だとすると、序文でそうした意思を表明されるともっと良かったと思います。これまでのお話だと、経済産業省では研究会を発足させてベンチマークを作ったり、IT事故データベースを構築するなど、いろいろな構想を持っておられる。そうした背景が打ち出されていれば、理解する側の企業と、理解されたい側の国との間にミスマッチが起こりにくくなる。そう思いましたね。
田辺氏: そうですね。重ねがさね、貴重なご意見ありがとうございます。
井上氏: あいまいな部分が残っていると、一番困るのは中小企業だと思うんです。大企業なら体制もお金もありますが、限られたリソースの中でセキュリティ対策を施さなければならない中小企業の中には、「分からないから、もう止めよう」と判断するところが出てくるかもしれない。それから、電子タグについても言及されていませんでした。確か経済産業省では電子タグについてのガイドラインも出していて、その中で「電子タグを取り扱う場合においても個人情報保護法の規制を受ける」とされています。
田辺氏: 我々としてもはじめての試みであるので、改正の余地は確実にあると思います。これから法律が施行されて、実装段階に入ると、さらにその必要性が高まると思います。
企業・組織と個人との相互理解が鍵
??企業の中には、これまでのお話でも出てきたように、セキュリティに対する不安感から、個人情報の取得に対して臆病になっているところも少なからずあると思います。そこで、個人情報保護法の施行に向けて、個人情報を使う側の企業・行政と、個人情報の提供者である我々との関係はどのように変化するのでしょうか。
井上氏: 「情報を使わない」という判断に偏り過ぎると、企業としての活動に支障が出ると思いますね。もともと個人情報保護法が出てきた背景を考えると、経済協力開発機構の条約に対応する必要があったわけです。つまり「情報も守れない国とは付き合えない」ということから、個人情報保護法の必要性が出てきた。しかしこれは、情報を「取らない」ということではなく、「きちんと守る」ということを前提とすべきなのです。
田辺氏: 一個人として考えると、「ちゃんと自分の個人情報を守ってくれるかな」という不安はありますね。かたや企業では、顧客の満足度を上げるために個人情報が必要なのであり、それが顧客の側にもきちんと伝われば、お互いにWin-Winの関係が築けると思います。例えば海外では、ある日突然「このプライバシー規約に同意した人だけがこのサービスを使えます」と表示されることがあるらしいですね。これはその国でのプライバシーに関する法律の影響のようですが、それまで普通に使っていたサービスを、プライバシー規約に同意した人だけが使えるようになり、個人情報の受け手側は、規約に基づいて情報を管理して、同意した人には特別の情報を提供したりする。こうした顧客サービスの向上の仕組み作りができるようになればいいと思いますね。
井上氏: そうした個人の不安を払拭するために、客観的な監査とその報告書を公表する、ということも重要になります。また、「何の目的でどんな情報を収集するか」ということを明記することも必要です。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」