個人情報をどう取り扱うか 『先見経済』
大手通信サービス、ヤフーBBの会員情報漏洩問題をきっかけに個人情報の取り扱いに重大な関心が寄せられている。その漏洩で四十億円という損害を被ったからだ。企業にとって個人情報は収益を生む宝の山。そのデータベースを活用して高度な経営を構築することが二十一世紀型経営の真髄とも思われてきた。果たして個人情報は「宝」なのか「厄介物」なのか。情報システム基盤の経営システムをどう運用するかの大問題である。
大手飲料メーカー、サントリーは、「個人情報は思い切って捨てる」という方針を打ち出したという。個人情報漏洩によって受ける企業の損失とそこから得られる事業利益を天秤にかけると、個人情報は収集しないほうが得策、何らかの方法で集まってしまった情報はできるだけ早く捨てる、ということである。統計的な処理ができる情報のみ残す。
清涼飲料水、ビールなど同社の商品の単価が小額の物が多く、その最終顧客の情報を集めてもそれほど利用価値がない上に、その情報の維持、管理コストが膨大になる可能性があるからだ。こうした個人情報の集積を基礎にワン・ツー・ワンの「マイクロマーケティング」によって売り上げを伸ばすよりも、魅力的な商品作りによってヒット商品を飛ばす「メガマーケティング」の努力をしたほうが正道だというわけである。
この考え方は一理ある。ただし、小額の商品を扱う際に適用できる原理である。
一般的には、個性的、多様化する「個客」のニーズを的確につかみ、顧客満足度の高いサービスを提供してゆくためには、やはり、個人個人の情報は重要である。むしろ、どれだけきめ細かい情報を集め、解析し、顧客する自覚していなかったニースを発掘して、先回りして提案してゆくサービスこそ、次のビジネスの成否を分けるポイントになる。こうした要求に応ずるために、個人情報を収集するとともに、この情報をどのように危険から守るかが重要になるのである。
ネットワークを通じての攻撃からデータベースを守るのはすでにどの企業でもセキュリティ対策として実施済みだろう。すでにこうしたハード的な措置は行くつくところまで対策は講じられている。よほどの巧妙な手口が開発されれば別として、現在のところは、ネットワークを通じて情報を盗まれることは稀な事態だろう。
現在の問題は、人間にからむ危険である。情報を保管してあるデータベースなどの装置に、情報を盗もうとしている人間を直接に接触させてしまうことが一つ、あるいは、個人情報を収録したディスクやプリントアウトした紙をうっかり盗まれるなどの保管・管理のミスである。個人情報の一覧表を鍵がかからない引き出しやロッカーに保管しておくことも現時点では危うい状況である。
データベースにアクセスできるネットワークに入るパスワードの管理ミスもある。生年月日や自宅の電話番号などの分かりやすいパスワードや端末の前に覚書としてメモしておくなどといううっかりミスである。
さらに、もっと多くの危険は、外注先の社員や退社した社員が情報漏洩の経路になることである。データベースにアクセスできる人間の数はできるだけ少ないほうが良い。重要な場所には、外部の人間を出入りさせないことが原則である。また、トラブルや不満を抱いて退職した元社員が退職の際に、フロッピーに大量の情報をコピーして持ち出す、という事例は時折、耳にする。人間同士の感情の対立が情報管理のトラブルにもつながる。
これをまとめると、①個人情報データベースに接触できる人間を厳格に制約する。つまり、部屋の出入りのチェック、アクセス権の制限、作業環境の整備、作業動作の監視、② 請負企業との守秘義務契約の厳格化。つまり、請負企業の作業環境・体制のチェック、請負企業の要員のチェック、③ファイアウオールなどセキュリティ厳格化。機械的問題より、人間系の問題、内部統制--ということになる。
さて、こうした人間系のトラブルを防ぐには、情報システムによる監視、防御だけでは限界がある。行動基準を策定し、これを守るように徹底的な教育、研修、啓蒙を行う必要がある。しかし、これは情報にかかわるものだけを切り出して基準を策定するよりも、全社一般の順法マニュアルとして策定し、社員に徹底する必要がある。
まず、情報システムだけではなく、さまざまな企業不祥事全般に対して内部から統制する「倫理行動基準」を策定する。その中に「情報倫理規定(行動基準)」を盛り込むのである。これには初歩的なところから高度なところまでレベルがある。
直接的に、不正利用の禁止を明記することも重要である。①管理目的以外の他人のメールの閲覧の禁止。管理者は一定の条件の下に管理のために閲覧できる(けん制)。②他ユーザー、他計算機の情報の傍受、改ざんの禁止。これは不正アクセス禁止法に抵触し、電磁的記録不正作出罪に触れる。③他ユーザー、他計算機への攻撃、侵入の禁止。これも不正アクセス禁止法に抵触し、電磁的記録毀棄罪に触れる。④ウイルス等の作成、流布、培養の禁止。⑤ソフトウエアの不正複製、使用の禁止。
⑥基本的な防護策の徹底。ここには細かく点検項目を記述する。⑦機器、ネットの利用はウイルスチェックが必須。⑧不正なファイル共有は行わない。⑨セキュリティ関連ソフトの頻繁な更新。⑩外部ネットとの直接接続、バイパス接続の禁止。⑪不要なポートの開放の禁止。⑫チャットサーバーやウイルス等の取り入れの防護の徹底。⑬パスワードの頻繁な更新、管理の徹底などである。
しつこい程の丁寧さだが、こういう項目を記述した資料を配布するだけでなく、集合研修やeラーニングで繰り返し学習させる。どの部分を学習したかを確認する仕掛けも重要だ。ささいな事を徹底して学習させることは一見、無駄なことのように見えるかもしれないが、実は、この作業をする際に、イマジネーションが働いて、応用問題が利くようになるだろう。繰り返しが多いほど、その重要性が伝わる。
「倫理」は内面から行動を規制するものである。こうした基準が内面の声になるほど、学習させる必要がある。
『先見経済』 2004年4月19日