個人情報取扱業務を組織に根付かせるための方策

前回、米国で起きたカード情報流出事件を取り上げ、業界標準の情報セキュリティに関する要求事項を満たしていなかったことから起きた事件である、と書いた。セキュリティ認証まで取得していながら、どうして漏洩事件が起きたのか、詳しくは前回の話を読んでほしい。

多発する金融機関の個人データ紛失事件

ところで最近、全国の銀行や信金など金融機関で、個人情報の紛失事故が多発している。なぜ、これほどまでにマスコミが繰り返し報道しているにも関わ らず、紛失騒ぎが続くのだろうか。不思議だったので銀行に勤める複数の関係者に聞いてみたところ、その理由の一つに、会社の統廃合に伴う引越しなどのどさ くさに紛れてデータがどこにいったか、わからなくなっていることが多いのだという。驚く話として、データの保管やチェックは会社の「新人」の仕事としてあ てがわれることが多いらしい。統廃合に伴う異動や転勤などで、担当者の引継ぎがうまくいっていない場合もあり、そのままになってしまうこともあるのだとい う。

それにしても一体、金融機関の現場はどうなっているのだろうか。金融監督庁の一斉点検の通達によって、これほどボロボロと個人情報の紛失届けが出てくるというのは、異様である。

ところが先の内部関係者の話では、おかしくもなんともないのだそうだ。銀行というところは金融監督庁に顔を向けて仕事をしているという。これでは一体誰のための個人情報保護なのか。預金者という個人よりも「お上」の方が優先順位は「上」のようなのだ。

一斉点検以降、立て続けに紛失届けが出されるというのでは、「事なかれ主義」と批判されても仕方がないだろう。言われないとやらない、わからなけれ ば問題ない、という体質では困るのである。個人情報を扱う受託企業であれば、取引先から情報漏洩が発覚すれば取引を停止されて会社がつぶれるかもしれない が、金融機関ではそんなことはないから、切実な危機意識があまりないのかもしれない。さすがに金融監督庁も行政指導を強める方向で、余りにひどい企業には 業務改善命令を出すことも検討しているらしい。

個人情報保護法が施行されて3カ月余りが経過する。関係者の話では、行内ではこの1、2年ぐらい前から少し危機意識が高まり出した程度、という。個人に顔を向けた個人情報保護の取組みはまだまだ形だけ、ということをいみじくも証明してしまった。

金融、通信、医療の特定3分野については、情報漏洩が起きると、個人のプライバシー侵害の影響も大きいことから、過去に個別立法の検討もされたようだが、見送られた。こうした事件が余りに多発するようであれば、再度立法化の検討もあるかもしれない。 [全文]