「第2回情報セキュリティEXPO」レポート第2回

フィッシング詐欺、スパイウェアの被害、個人情報漏洩など、さまざまな「脅威」が指摘され、情報セキュリティへの意識が高まりをみせているなか、このほど第2回目となる「情報セキュリティEXPO」が開催された。今回はその専門セミナーにおいて、個人情報保護法全面施行後の注意点、新種のウイルスや不正アクセスの手口など新たな脅威への効果的な対策など、情報セキュリティに関連した多くの注目すべきテーマが取り上げられた。多くの来場者の関心を集めたセミナーを紹介しよう。

●個人情報保護法や各省庁のガイドランをめぐって実際に事件や事故に見舞われた企業や個人が解釈で「混乱」

　2005年4月から個人情報保護法が全面施行されてから、すでに3カ月が経過した。多くの企業では、法令遵守(コンプライアンス)の視点からも個人情報保護法への真摯な取り組みを進めてきた。しかし、その実効性はどうだろうか。法令の解釈をめぐり「いかに対策をとればいいのか」に現在も頭を悩めている企業はないだろうか。そのような状況の中、個人情報保護法の全面施行後3カ月を経過したことを受けて開催された「個人情報保護法再入門~情報漏洩防止を踏まえた施行直後の対策見直し~」には多くの来場者が足を運んだ。講演者は、弁護士で国立情報学研究所客員教授でもある岡村久道氏。岡村氏は、まず、個人情報保護法が全面施行されたとはいえ、その後にも個人情報漏洩事件・事故が後を絶たないことを指摘。「ブロードバンド通信事業者の大規模な個人情報流出事件などにより、すでにのべ人数で1000万人以上の人たちの個人情報が流出したと考えられる。『日本国民の約10人に1人』が個人情報流出事件の被害者になった」と切り出した。

　岡村氏は、続けて「各省庁からガイドラインが出されてはいるが、ガイドラインを含めて、個人情報保護法の解釈をめぐって対策の構築、対応策などに混乱が見えている」と語った。岡村氏は、兵庫県尼崎市で起きたJR福知山線の脱線事故においても個人情報保護法をめぐるトラブルがあったことを指摘。「一部の病院が家族や自治体からの安否確認を、個人情報保護法の目的外利用や不同意第三者提供を理由に拒否した」と事例をあげた。岡村氏によれば、この事件があってから、厚生労働省は「第三者提供の例外に該当する」、「災害の規模などを勘案し」、「本人の同意を得ずに存否情報等を回答することができ得ると考えられる」などとする見解を、医療機関での個人情報取り扱いに関する事例集(Q&A)に追記した。

　解釈をめぐる混乱は他にもある。岡村氏は、ある金融機関が2005年4月に約128万人分の顧客情報を記録したCD-ROMを紛失した事件を取り上げ、金融庁が出した勧告の解釈の難しさを解説した。「勧告には『個人データの安全管理のための措置の実効性の確保』、『個人データの安全管理を図るための従業員に対する監督の徹底』と記されている。しかし、『いったいどこまでやったらいいのか』が明確でない」(岡村氏)。勧告を受けた企業にしてみれば「どこまでやればいいですか」とは聞きたくても聞けないだろう。自分たちで考えて「よくわからないけど、とにかくやるしかない」と非効率的な努力を積み重ねる結果にもなりかねない。個人情報保護法の全面施行後3カ月が経過し、実際の現場では解釈をめぐって「混乱」もおきている。そこで、再度、いかに個人情報保護法を遵守すべきなのかを確認することが求められているのである。

【執筆：下玉利尚明】

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec