情報システムの再構築と個人情報保護法――企業革新の好機にどう変えるか 『先見経済』
企業の業務革新と個人情報保護法――二〇〇五年四月に施行予定の個人情報保護法を機会に企業の根本的な業務革新を断行しようという検討が始まっている。すでにこのシリーズでは前回まで二度にわたって個人情報保護法をめぐる動きを追っているが、今回はその第三弾。事態が進行するにつれて、個人情報保護法のインパクトの大きさが認識されつつあるので、あえて、別のアングルから三度、取り上げる。ことは刑法犯にまでかかわる問題である。この強制力を背景にして、業務革新への社内の抵抗を減殺するチャンスがある。また、実際に個人情報保護法の施行でこれまでの業務方法では非効率になる既存の業務プロセスは数多い。それもにらみながら、一歩、根本的な企業革新を推進しようではないか。
前回までに指摘した個人情報保護法の問題点は厳格すぎることである。その原因もはっきりしている。〇二年八月に実施された「住基ネット」に対する反対が強かったことから、その条件として個人情報を厳重に保護するための制度を創設したのが個人情報保護法だった。この法律は、その影響がどのように及ぶかについてはあまり考慮せず、住基ネット反対論者説得のため、もっぱら個人情報が漏出しないことだけに関心を払って成案化した。
その結果、思いかがけないところに影響が及ぶことが分かってきた。先回指摘したように、元請-下請-孫請というような日本的な産業構造を維持するのは難しくなるし、下請業務をしてきた中小企業や個人企業は存続が危うくなる懸念が出てきているのである。
その延長線上で問題になるのは、現在、日本作業界で基調になっている中国をはじめとしたアジア諸国・諸地域の企業に対するアウトソーシングへの影響である。各種の情報入力については人件費の安い中国企業に業務を移転しようという計画もある。しかし、これには疑問が出てきた。個人情報に関わるデータを取り扱う可能性のある業務については、管理の十分でない地域に委託することは難しい。日本国内でも下請や孫請に委託することが難しくなると懸念されているほどである。海外に委託するには相当の管理体制が必要になる。時間もかかるし、コストもかかる。海外に委託する利点があるかどうか。
あまりの厳しい管理で、従業員の士気への影響についても気になることがある。
個人情報は万一漏出すれば企業にとって大きな損害の出る可能性がある。社会的信用の失墜だけでなく、実際に損害賠償、顧客からの取引停止、株主代表訴訟など、相当の対策が必要になってくる。個人情報保護法が完全施行される来年四月以降は企業にとってはこれがさらに重荷になる。企業の存続維持すら危機に追いやられるかもしれない。
「個人情報」の取り扱いについては、まず、社内にどんな個人情報が散在しているかを確認し、これらの情報の取り扱いについて、社内に厳重な管理規定を設けることが必要だ。NRIセキュリティテクノロジの調査によると、個人情報保護についての企業の不安のトップは「社内のどこに個人情報が保管されているかどうか分からないこと」で四二%、同率の四二%で「規定が社内に徹底できているかどうか」である。しかし、問題はここである。この規定を徹底するために社内研修などで従業員を指導することになるが、その規定の中には従業員の行動規定が細かく盛り込まれる。そこで気がかりなのは、重要な項目になるのが、個人情報を保有するオフィス内に持ち込む個人の所持品の制約である。
ハンドバックなどの中に写真機や録音装置などを入れておくのをチェックされるのはまだしも、一般従業員にとって腹立たしいのは携帯電話の所持禁止である。トイレや化粧、喫煙などとともに数少ない自分ための時間を確保できる瞬間である携帯電話が高機能になり「カメラ付き」となったとたんに、社内の機密情報をコピーする可能性のある道具として制約を受けることになった。上記の調査で企業の不安の第三位の項目が「社員の不正な個人情報の持ち出し」で、この回答は全体の四一%の企業に及んでいる。
実際、別の調査においても、情報セキュリティの犯罪を分類すると、その原因の八〇%は内部の従業員に関係するものである。従業員自身の持ち出しもあれば、従業員が何らかの手引きをして起こされた犯罪もある。企業が過重なほどの管理規定を設け、徹底した研修だけでなく、従業員の行動に厳しい監視の目を向けているのもうなずける。
ところが、この厳しすぎるほどの管理が、逆に、企業を個人情報漏出の危機にさらすのではないか、という指摘が盛んにされるようになってきた。「自分たちをこんなに疑っているのか」という不快感である。個人の最も大切な道具の一つである携帯電話を職場では使うことができず、その不満が企業の忠誠心の低下につながって行くのではないか、という懸念である。内部から手引きする、つまり、個人情報を社員が持ち出す可能性が大きくなってしまうのである。
退社する従業員も、「そんなに自分を信じないなら」と、ことのついでに、と持ち出して行ってしまう危険が返って高まってしまうのではないか。
こうなると、厳しい規則を制定しても、従業員教育を徹底して、所持品の管理をしても、あまり安心できない。ということで、さらにこれを上回る対策が必要になる。
その妙手は最初から個人情報を扱わないことである。もちろん、個人情報を事業のために使用しないという極端なケースもあるが、現実には、商品開発、販売、顧客囲い込みのためには積極的に顧客情報を収集、蓄積、活用することがますます重要である。個人情報を事業活動に使い、しかも、自社の社員には触れる機会を減らす――こういう対策が重要である。そんな方法があるのか? ある。それも二つの方法が考えられる。
一つは、アウトソーシングである。個人情報にかかわる業務は機密保持に厳格な専門受託会社に任せて、ここを活用することである。企業の業務体系を見直し、コアコンピタンスの業務以外を外部に出す組織改革をこの際に徹底的に行うべきだ。もう一つは、これまでのパソコンに何でもデータが入る方式を改め、情報はサーバーやホストに集中し、端末はそれを引き出し、活用する瞬間にだけ利用でき、その途中経過も結果もサーバーやホストにだけ残っている、というセンター集中、一元管理の新しい情報ネットの構造へと移行すべきである。この二つを今後、真剣に検討する必要がある。
今回はって新たな問題が浮上してきた。日本独特の元請-下請-孫請という再委託構造が、新たに施行される個人情報保護法と真っ向から矛盾するポイントが明らかになってきたのである。とりわけコンピューターで個人情報を高度に管理するビジネスが危機に瀕する可能性もある。「個人情報保護」が実現して「日本産業滅ぶ」の悲劇的な結末が待っているのか。再点検が必要である。
個人情報保護法は、住民基本台帳ネットワーク制度創設の条件整備のために取り急ぎ成立されたというのが、率直な印象である。住基ネットは権力が国民を支配するための道具である、という批判に応じて、個人情報の取り扱いには厳格なルールを設け、とりわけ行政事務の執行上、住民情報に接する機会がある公務員にはさらに厳罰を設けて個人情報保護の体系ができあがった。
マスコミからは言論・報道の自由を侵害する政治家のスキャンダル隠しが目的だと批判されたため、報道機関は例外規定を設けるなど、迷走しながら、つぎはぎだらけで個人情報保護法ができあがったというのが率直な印象だ。公務員の乱用を防止、抑制することや報道機関の取り扱いに目が奪われていたため、さて、来年四月の施行をにらんで詳細な中身の検討に入ってみると、業種によっては、中小企業や個人企業には大きな影響が出ることが浮き彫りになりつつあるのである。大きく見て問題は二つある。
まず、行政官庁である。公務員の個人情報管理には、民間人より厳しい罰則規定が設けられ、個人情報漏洩については直ちに刑事罰が適用されることになる。民間の場合には、是正勧告が出され、これに従わなければ行政処分、あるいは刑事罰になる、というように刑事処分までには二段階がある。しかし、実は、ここに落とし穴がある。民間企業だからといって、すべてが間接的な二段階の処分になるわけではない。事情は次のようである。
行政官庁は事務効率化のために、今後、さまざまな行政事務を民間企業にアウトソーシングする動きが広がる。この行政事務を受託する民間企業は「公務員」とみなされる、ということなので、個人情報漏洩問題を起こせば、この民間人も直接に刑事罰の処分を蒙ることになる。まず、こういう事態が生じるのである。
ところが、行政事務を受託する民間企業が、果たして、厳重な個人情報の管理ができるか、そこが問題である。もちろん、まず、自治体や外郭機関から直接に受託する民間企業は厳重に情報管理ができているかもしれない。しかし、問題は、日本の産業構造では、一次的に受託した企業だけですべてが完結しないということである。二番目の問題として、個人情報保護の問題が日本の産業構造と大きく矛盾することが浮上してくる。
日本の産業構造は下請構造である。まず、元請で受託した業務は、下請に再委託される。下請企業は元請に比べてコストを安くこの業務をこなすことができるからである。下請は受託した業務をすべて自社で行うわけではない。このうち、より、簡便な業務は孫請に再委託して経費の削減を図る。孫請も、場合によってはさらに曾孫(ひまご)請に業務の一部を再委託することもある。この一連の下請の流れについて、すべて「みなし公務員」の規定が適用される可能性がある。つまり、孫請で個人情報が漏洩した場合にも、この孫請の従業員は直接に刑事罰の対象になる可能性があるのである。当人たちは自覚がないのに、厳罰に処される可能性が出てきてしまう。
これを避けるには、行政機関から業務を請けた元請は、下請に再委託してはならない、という禁止規定を設けるのも一つの案である。しかし、再委託を禁止したら、自社の中で受託事業をすべてこなせる企業など、日本にいくつあるのか。日本の産業界では受託できる企業がなくなってしまうのではないか。これから生まれる膨大な自治体のアウトソーシング需要は受け手がいなくなってしまい、機能麻痺に陥りはしないか。
また、行政官庁でなくても、民間大手企業が業務をアウトソーシングする場合にも同様の問題が発生する。元請が下請に業務を再委託する際には、下請企業内部の個人情報管理基準が元請より厳格か、あるいは同等でなければならない。下請が孫請に再委託する際には、孫請が下請よりも厳格な個人情報管理の内部基準を持っていなければならない。しかし、これは現実とは明らかに矛盾している。厳格な基準を設け、これを運用・管理するには、相当のコストがかかり、下請、孫請が安い委託費で業務を請け負うには引き合わない。つまり、一般の民間企業同士の委託―再委託関係でも、個人情報に求められるような厳重な管理を要求されては、とてもビジネスが成立しない実現不可能に思える。
もちろん、だからこそ、厳重な情報管理を実施している、という第三者機関の認証を受けることができれば、一気に競争力をつけて多大なビジネスチャンスに恵まれることになる。具体的には、プライバシーマーク(Pマーク)の取得やISMS(インフォメーション・セキュリティ・マネジメント・スタンダード)などの認証を得ることである。
しかし、こうした資格の取得には手間と経費がかかる。日常の業務に追われている中小企業や個人企業がこうした第三者の資格認証を得るのはハードルは高い。経費負担に耐えられずに経営が行き詰まることも考えられる。そして認証が得られずに業務の流れからはじき出されることになれば、今度は仕事がなくなって経営が行き詰まることにもなりかねない。PマークやISMSを別の基準で資格を取らせる簡易認証の制度を創設する必要があるのではないか。
大企業でも、コスト削減のために業務を再委託するための子会社、グループ会社を組織しているところは多い、というよりも、普通の事業体制である。とりわけデータ入力や管理を取り扱う企業は別会社にして、再委託するのが通常のグループ経営である。個人情報保護法の流れから再委託の禁止などが画一的に実施されれば、企業経営には大きな打撃になりかねない。
個人情報保護法は施行される来年四月までに細かいルールが決まってゆくが、その動きには注意をし、場合によっては思い切った意見を述べてゆく必要が出てくる。
『先見経済』 2004年8月16日