手続きよりも情報セキュリティ教育に投資せよ
第1の理由は、個人情報を扱う事業者が、第23条に代表される「本人の同意なくして第三者に提供してはならない」とする手続き面に、非常に偏ったコストをかけているためだ。
本来かけるべきコストは、個人情報を流出させないようにするための情報セキュリティ面の教育や啓発である。例えば「ウィニーを使用しない」という場当たり的な対応でなく、なぜ使用すると危険なのか、同様の危険は他にもあるのか、情報管理はどうしていくのかなど、自社の状況を踏まえ、全従業員に周知し啓発活動を実践していれば、今回の一連の事件は起きないし、継続的なリスク管理ができる。過大な技術セキュリティに投資するより、従業員の教育、啓発に取り組むほうが、コストも安上がりで確実という事実を、今一度再認識する必要がある。
第2に、いい方は適切でないが、個人情報の保護を、漏えいさえ起こさなければ大半の問題は生じない、とざっくりととらえて対策を立てていない点だ。今のところ個人情報保護でマスコミが報道する面として、漏えい事件が中心である。つまり漏えいしたという結果責任を問われている。保護手続きを厳格に運用しても漏えい事件を起こせば、それで終わりだ。個人情報保護法では、漏えいという事件を起こせば、手続き面の遵守があっても、免責されることはないからだ。
この連載のバックナンバー
- 人々をだます“SAFETY”という罠 (2009/02/27)
- 薬害肝炎事件は終わらない(3) (2008/03/18)
- 薬害肝炎事件は終わらない(2) (2008/02/06)
- 薬害肝炎事件は終わらない(1) (2007/12/27)
- 個人情報漏えい、対策したのに止まない不思議(1) (2007/10/12)
