もはや他人事ではない個人情報の流出問題
今は様々な形で個人からの情報が集めやすい時代となっています。スマホやIoTデバイスから取得できる様々な情報は、ビジネスにおける方向性を決定する上での大きな指針になっており、その価値は年々上がっていると言っても良いでしょう。
その中でも特に利用価値が高く、かつ扱いに注意が必要なのが個人情報です。個人情報が流出するような事件は、新聞やテレビなどでもよく取り上げられますが、今の個人情報保護法では企業規模や個人情報の保持数によらず罰則が適用されることになっていますので、やらかしてしまったでは済まされない他人事ではなくなっています。個人として、また組織として個人情報の保護のために気を付けるべきことを知っておきましょう。
そもそも個人情報とは
個人情報とは、「生存する個人に関する情報で、特定の個人を識別することができるもの」と定義されています。氏名、顔写真、名前と写真、名前と住所など、組み合わせることによってある個人の特定が可能となる情報が個人情報とされますが、最近は指紋データやパスポート番号、免許証番号、マイナンバー等の個人に属して発行される符号(個人識別符号)も個人情報となっています。
加えて、SNSなどで膨大な量の情報を取得することが可能になり、情報の組み合わせによって個人を特定することができる範囲が広がっています。そのため、時にはニックネームと顔写真の組み合わせなどの情報からも個人情報となる可能性があるため、様々な情報の取り扱いに十分な注意が必要となっています。
個人情報を流出させない!保護のために組織で行うべきこと
個人情報の保護のために行うべきことについて、まずは組織として行うべきことを簡潔にふたつ紹介します。
個人情報の流出を防ぐためのシステム上の対策
個人情報の保護のためには、組織として個人情報の保護のための体制を作っていく必要があります。こうした仕組みによる対策には、個人情報の取り扱いに関する方針の外部公開や社内ルールの作成、個人情報の取り扱いに関するフロー(流れ)の策定・見える化、そしてできる限りエラーを起こしにくくし、またトラブル発生時に被害を最小限にする、発見しやすくするためのシステムの導入などがあります。
個人情報の管理では、取得、保管、提供・開示などへの対応、廃棄など、各ステップに応じた適切な対応を定め、常に運用状況を見ながらブラッシュアップしていくことが大切です。
個人情報の取り扱いルールを守らせるための組織的な教育
個人情報は、システムの不備をついた攻撃もありますが、それ以上に個人のミスや認識の甘さから流出することが多くなっています。そのため、個人情報に関する認識を正しく持ち、また個人情報の取り扱い方についてルールを守らせるための教育を定期的に行う必要があります。社内に詳しい人がいない場合には外部から専門のコンサルタントを招聘して指導させることも多いです。
個人情報の保護のために個人が行うべきこと
業務上知りえた個人情報については、誰でもその保護が求められるようになりますので、組織はもちろん、個人としても流出事故に注意が必要となります。個人のミスから会社に迷惑をかけないように、気を付けるべきことを紹介します。
個人情報を外に持ちださない
個人情報の流出において多いのが、業務上必要な個人情報データをUSBメモリなどで持ちだしてそれをそのまま紛失してしまうケースです。物を忘れる、紛失してしまうというのは、程度の大小はあれど誰でも可能性のあることです。だからこそ、「そもそも個人情報を持ち出さない」という意識をもって業務に取り組んでいくことが大切です。
個人情報が含まれるファイルにはパスワードをかける
個人情報はビジネスで利用することも多く、ファイルを頻繁に閲覧したり更新したりすることもありますが、その際にパスワードがかかっていると面倒だと考えている人もいます。しかし、パスワードの有無によって、ファイルが何かの時に流出した際の影響度が変わってきてしまいます。面倒だとしても、ファイルの流出があった時のリスク対策として必ずパスワードをかけるようにしてください。
個人情報の取り扱いルールについてしっかり教育を受ける
社内で、もしくは社外で個人情報の扱いについて教育を受ける機会があれば、しっかりと受けることです。教育では、知っていることも多くありますが、繰り返し聞くことで基本を確認したり、意識を高めることに役立ちます。また他社の事例などを聞いて、自社に適用して考えたり、その被害の大きさなどを耳にして気を引き締めるなどの効果が期待できます。当然ながら、社内の個人情報の取り扱いに関する規則はしっかりマスターしておくようにしましょう。
個人情報を扱う情報機器を業務用・プライベート用で分ける
情報セキュリティの観点からは、業務用で使用する情報機器とプライベートで使用する情報機器は分けた方が好ましいです。個人情報の取得を目的としたマルウェアが様々なところで暗躍していますが、その多くはビジネスで普通使われるようなところではなく、プライベートで使うようなWebサイトやソフトウェアを通して入り込んできます。趣味で閲覧したサイトによってビジネス上の機密情報や個人情報リストが流出する危険を避けるためにも、パソコンやスマホなどの情報機器を分ける、もしくはビジネス用の情報機器ではプライベートの事はしないなど厳しく自分を律しましょう。
個人情報が流出すると何がまずいのか?
個人情報の流出によって生じるリスクにはどのようなものがあるでしょうか。個人情報の流出によって企業がこうむる被害を見ていきます。
企業の信用が失われる
たとえニュースなどにならないとしても、個人情報の流出について放置してしまえばそれによって企業の信用が失われることになりかねません。今はWebサイトなどの問い合わせでも、名前やメールアドレスといった個人情報が頻繁にやり取りされています。その中には、自社にしか個人情報を提供したことのない人も含まれていると考えるべきで、自社への問い合わせから迷惑メールなどが増えたということがあれば情報がリークされ、罰則を受ける可能性もあります。隠すような行為が発覚するなら、企業としての信用は大きく損なわれ、その後の企業活動に大きな影響が出ることを覚悟しなくてはなりません。
お客様に迷惑がかかる
「オレオレ詐欺」「架空請求」などの社会問題がありますが、詐欺グループがどうやって電話番号を入手しているのかと言えば、こうした個人情報の流出が元になっています。流出した個人情報は裏でリストが売買されており、ターゲット別に整理されたものもあります。今はIoTによって体の状態を示すバイオデータの取得も始まっており、体系や健康状態などのセンシティブな情報はより高度な詐欺などの格好の的になる可能性があります。また、クレジットカード情報などは大きな金銭的被害を生じさせる可能性があります。顧客に大きな迷惑をかけないためにも、しっかりした個人情報管理が必要です。
企業に賠償負担が生じる
個人情報の流出事故があれば、その場合には企業として流出させてしまった各人に対して賠償をするのが常となっています。流出した情報の質にもよりますが、1人当たり500~1000円程度の賠償を行っている例が多いです。1件あたりは小さな額に思えるかもしれませんが、個人情報のストックは非常に大きくなりやすく、数万件規模となることも少なくありません。すると賠償額は数千万円、数億円になることもあります。加えて賠償のための事務コスト・調査コストや、再発防止のためのシステム整備・教育のコストなどを考慮すると莫大な出費となるのです。
企業の機密情報も流出してしまう恐れがある
個人情報が流出する場合、それだけでなく同様のセキュリティリスクから、企業の機密情報などが流出する恐れがあることを知っておく必要があります。そのため、個人情報の流出があった際に目をつぶっていると、他の情報に関してもセキュリティリスクが残ってしまうことに注意が必要です。
お金をかければ個人情報が守れるのではない
「個人情報保護対策をしたいがお金が無い」という企業も多いと思いますが、実際問題としてお金をかければ個人情報が守れるかと言えばそうではありません。
確かに、セキュリティ対策ソフトを導入したり、また高度なシステム管理によってネットワークやシステム上のリスクを少なくしたり、個人情報対策を行う上で役立つサービスや設備はたくさんあります。また、プライバシーマークや個人情報の取り扱いが適切であることを示すTrustE(トラストイー)などの認証資格もあります。しかし、これらを持ってしても個人情報を完全に守ることは難しいです。
過去にはIT系の大手企業でも大規模な個人情報流出事件は起こっていますし、最近はより積極的にハッカーが攻撃を仕掛けることによって無理矢理個人情報を奪っていこうとする動きも見られます。そのため、技術的な対策はイタチごっこになりかねません。
それよりも大事なのは、しっかりと従業員を教育することや、不必要な個人情報を持たないようにすることです。教育をすることによってヒューマンエラーやソーシャルハッキングは確実に減るようになります。また、個人情報は目的をもって収集するべきもので、「何かで使えるかも」というレベルで個人情報を収集するくらいなら、保持せずに早めに処分した方がリスクは少なくなります。
お金をかけて個人情報を守ろうとするのではなく、取得が必要な個人情報の数や、また管理体制をいかに「身の丈に合ったものにする」かどうかが中小企業では特に大切になります。周囲がやっているからではなく、よく専門家と相談し、必要な対策範囲やレベルをしっかり決めることが結果的に安上がりになることが多いです。
個人情報保護の取り組みを通して、社内の様々な業務の管理レベルや従業員のスキルが向上することも少なくありません。個人情報保護だけでなく、多くのメリットがある取り組みとして考えてみましょう。
個人情報の流出を防ぐには教育が大切
中小企業だとしても、個人情報を取り扱う事業者であれば個人情報保護法の適用内になります。また、国をまたいでビジネスをするような企業なら、取引先の国の個人情報保護ルールも考える必要があります。
個人情報の重要性が増す中、それを取り扱う企業にはしっかりとした知識と、複雑な管理ルールを守るための仕組みが必要となります。システムで補える部分には限界がありますので、個人情報の流出を防ぐためには徹底した教育が一番有効です。組織は教育を与えることを、個人は教育を受けることを徹底して、個人情報の流出を防ぎましょう。