個人情報保護法完全施行を目前に「今、企業がすべきこと」を総点検

2005年4月から個人情報保護法が完全施行される。いよいよ残すところ5カ月となり、今、多くの企業が「自社の情報セキュリティ対策をどうすべきか」に頭を悩ませているだろう。そのような状況の中、日本ネットワークセキュリティ協会（JSNA）が「Network Security Forum 2004」を開催した。個人情報保護法対策の基本的な考え方から「今、取り組むべき緊急課題」まで、講演内容を抜粋して紹介しよう。

●情報の扱いについて「証拠」を残す　これが個人情報保護法対策の大前提

　経済産業省の田辺課長補佐に続いては、情報セキュリティ分野で活躍する牧野総合法律事務所弁護士法人の牧野二郎弁護士による「個人情報保護対策総点検課題と緊急対策」と題する講演だった。あらためて言うまでもないが、個人情報保護法は2005年の4月1日をもって完全施行されるため、現時点ではその法律違反で罰せられた企業はない。判例がない。そのため、個人情報を取り扱う側の企業は、その法律の細部について「いかに解釈すればよいのか」と悩み、明確な基準を確立できていないのが実情である。その意味でも、法律の専門家という立場での牧野弁護士の講演には多くの関心が集まった。

　牧野弁護士は、まず、個人情報保護法が「情報を漏洩した人を処罰するものではなく、漏洩事故を起こした事業体の管理責任を問うものである」と指摘。その上で「管理責任を果たしていたかどうかは『証拠』で決まる。そのため情報をどう扱い、どう管理していたかの証拠を残すことが大切」とした。続けて、「いざというときに、個人情報の管理ルールは従業員全員が『心得ています』といっても通用しない。裁判では、どう管理を実践していたのか『その証拠を見せて』となる。だからこそ、まずは証拠を残すという意識を徹底させるべき」と語った。多くの企業では契約書や登記簿謄本など「紙の重要書類」については、その保管ルールなどを定めているものの、デジタルデータについては「改ざんなどが容易で（裁判のときに）証拠能力がない」と思われているフシもある。しかし、牧野弁護士は「アクセスログ、電子メールの送受信記録など、デジタルデータにも当然、法廷での証拠能力はある」と強調し、証拠を残すことこそが個人情報保護対策の大前提であるとした。

　次に、牧野弁護士は、「企業にとって大切な情報とは『個人情報』のみではない。営業機密や著作権に関連する情報など重要なコンテンツは数多くある。現在、みなさんが取り組んでいる『個人情報保護法対策』は、多くの重要情報を守り抜くための第一歩に過ぎないという意識を強く持っていただきたい」と続け、企業のコンプライアンスや社会的責任という視点からも個人情報保護法対策の重要性を指摘した。「企業の情報セキュリティへの取り組み、つまりは『情報力』がブランドになる時代」と述べ、個人情報保護法対策が企業の持続的成長の可能性（サステナビリティ）にとっても重要であるとの認識を示したのである。

【執筆：下玉利尚明】

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://shop.ns-research.jp/security/detail.php?form_id=54&page_id=401