個人情報保護の経緯と背景 | 企業の個人情報保護法への取組と事例:2018年版(1)

個人情報保護の経緯と背景 | 企業の個人情報保護法への取組と事例:2018年版(1)

イントロダクション


情シスの担当領域について、大体4つくらいに分類されると考えます。

1.インフラ整備:ネットワーク、サーバ/PC、携帯等物理的な設備の調達・保守
2.システム整備:業務システムやソフトの調達・保守
3.セキュリティ管理:ウィルス対策、情報漏えい、盗難紛失等のハード/ソフト面の対応
4.IT経営戦略:経営計画との整合、データ活用や業務効率化の提案・計測等

ハード、ソフト、セキュリティ、業務改善など多岐に渡りますし、それぞれの最新動向などを追い始めると結構な守備範囲になります。

その中でも技術動向以上に難しくなるのが法令関係の対応です。
情シス関連で特に大きく関連してくる2つの法令関係の対応があります。

1つは最近話題の「働き方改革」に関する法令で、労働基準法、働き方改革関連法などです。
勤務時間の把握と管理やテレワークなどの実現のためには、勤怠管理システムやVPNなどの仕組みが必要になります。
ベンダーから「働き方改革セミナー」のお誘いも山ほど来ます。

もう1つが「個人情報保護」に関する法令で、個人情報保護法と関連する規定などです。
システムやハード的な対策だけではなく、社内制度の構築なども必要になります。

どちらも「罰則があるので必ずやらなければいけないこと」「社会的責任として取り組まなければならないこと」「従業員/取引先/お客様のためにやったほうがよいこと」「あったら便利かな」のようにレベル感の違う要件が混在していたりします。

各法律の主旨と、必須事項、例外事項などを正しく把握して、自社にとって必要なものは何かを検討する必要があります。

今回は「個人情報保護」に関する法令について体系的に読み解きながら、企業としての取組と制度やシステムなどの事例を紹介していきたいと思います。

スポンサーリンク

個人情報保護の経緯と背景

個人情報保護法の正式名称は「個人情報の保護に関する法律」。
2003年成立(一部即施行)、2005年全面施行、その後数度の改定を経て現在に至っています。
法律そのものをいきなり読んでもわかりにくいですし、補足する規則やガイドラインなどが法改正の度に出されており、現時点での最新の全体像を一度に俯瞰するものがあまりありません。

とりあえず「そもそもなんで個人情報保護法ができたのか」というあたりからご紹介していきたいと思います。

インターネットの民間利用は1995年から本格化

全米科学財団(NSF)がTCP/IPで構築した学術研究のためのネットワーク(NSFNet)に他の学術研究ネットワークが接続して拡大したものがインターネットの原型です。
そのため当初は学術研究以外での利用は禁止されていましたが、1995年にNSFNetの運営が民間に移管されたことにより、学術研究以外の分野にも利用が広がっていきました。
同時期に発表された「Windows95」がOSR2以降からTCP/IPをデフォルトの通信プロトコルにしたり、InternetExplorerを標準提供に変更しており、インターネット利用は爆発的に拡大していったことがわかります。
その中で本人が意図せず個人情報がインターネットに晒されたり、拡散される事態も同時に発生・拡大するようになっていくことになります。
インターネット自体がほんの20数年前に広まったものだと考えると、それに関連する制度などがなかなか追いついていないのもうなづけます。

個人情報がインターネットと接続しはじめる

1999年には「2ちゃんねる」がサービス開始しました。
2004年にはGREEやmxiなどの国産SNSがサービス開始します。どちらもSNSサービスの一部としてゲームが提供されはじめたのは後の話になります。
ちなみに「前略プロフィール」のサービスが開始されたのも同じく2004年です。

個人がインターネットを通じて情報を発信・共有する仕組みが提供される一方で、自分自身や他者の情報も拡散されてしまうことになります。
そしてこれまで外部と繋がることの無かった企業・団体で取り扱っている個人情報データがインターネットを経由して容易に持ち出せようになってしまったのです。

個人情報漏洩事件と損害賠償請求

こうした中で個人情報保護法に先立ち各自治体で個人情報保護条例の施行が活発になっていました。
そんな中で1999年京都府宇治市において保守業者の下請けアルバイトがMOを用いて住民基本台帳データを持ち出し、約22万人分の情報が名簿業者に売却されインターネットで販売されるという事件が発生しました。
漏えいした手段がインターネットを介したわけではないのですが、漏えいした情報がインターネットに流出したという点ではインターネットを通じた個人情報漏えいと位置付けられています。

宇治市も個人情報保護条例を施行していまいたが民間委託業者に対する罰則が無く、保守業者やアルバイトは不起訴処分となりました。
そして市民から市に対して行われた損害賠償請求は市が市民1人あたり1万円の慰謝料の支払いが命じられたのです。

この事件でクローズアップされたのは、「個人情報データの盗用に罰則が無い」ことと、「個人情報を流出させた企業・団体は損害賠償請求を受けるリスクがある」ことです。
前者の問題への対応として、個人情報に関する罰則を明文化した個人情報保護法が成立し、後者については企業・団体が個人情報管理に力を入れるきっかけになったのです。

何故個人情報は狙われるのか

悪意を持った個人情報の利用(名誉棄損、営業妨害等相手の不利益を目的とした利用)はさておき、それ以外の個人情報は何故狙われるのでしょうか。
それは個人情報は価値がある=金になるからです。

前述の宇治市の事件でも漏えいした個人情報は名簿業者に売却されていました。
そして名簿業者はさらにその情報を販売しています。
販売しているということは買う人がいるということです。
誰が個人情報を買うのか。営業活動に活用したい事業者です。

テレアポや訪問販売、DM送付など手段は色々あり、名簿は営業活動を行う上で武器になります。
全く何の括りもない名簿ではあまり価値はありませんが、例えば「〇〇の購入者リスト」のようなリストは同種の商品を販売している業者にとっては購入確率の高い見込客になりえます。
過去の個人情報漏えい事件では2014年のベネッセの事件では、同業の商材のDMが届くようになり漏えいが発覚しました。
宇治市の住基データも地域特性で括られているため、例えばマンション販売等の地域性が影響する営業活動には優位にはたらきます。

個人情報保護法の施行後も名簿業者は合法的に存在していますが、不正な手段で入手された情報の取得は禁止されています。
それでも名簿の売買は行われており、個人情報は金になるのです。
金になるものには合法なものもあれば違法なものも存在します。
「情報」のような取得方法の証明が比較的難しいものであれば尚更です。

不正に入手された個人情報を購入した名簿業者も罰則の対象となるため、名簿業者側も怪しい情報をすすんで購入することはありません。
それでも危ない橋を渡る人が少なからず存在しています。

スポンサーリンク

個人情報保護法の根本は「プライバシーを守ること」

とはいえ個人情報の売買で不当に利益を得ることを禁じるために個人情報保護法があるのではありません。
個人情報保護法の根本的な目的は個人のプライバシーを守ることです。
本人が意図しないのに自身の情報が他者に渡っていくのを防ぐために規則や罰則が整備されています。
プライバシーを侵害して個人情報をやりとりすることを禁じているので、売買でなくても授受そのものが規制されています。

プライバシーデータに関する規則の源流は1980年の「OECDプライバシーガイドライン」まで遡ります。
個人情報保護法の根幹は「OECDプライバシーガイドライン」に基づいています。

次回からは個人情報保護法及び関連ガイドラインを元に、企業は何をしなければいけないかをお話していきます。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事