概要
企業からの相継ぐ情報漏洩により、経営者は情報セキュリティに対応するIT統制の仕組み作りを強く要求され、多くの企業が個人情報保護法に対するコンプライアンスプログラム(CP)やプライバシーマーク(Pマーク)制度に取り組んでいる。 Pマーク制度は、2006年から、ISO9001と同じマネジメントシステム(PMS)へと大きく変化した。このため、各企業はCP体制構築や内部規程整備から、更にPDCAサイクルに基づく改善を目指した仕組みを構築する必要がある。 Pマーク審査員の目から、Pマーク制度の要件とマネジメントシステムの効果的な構築を考察する。
米国でのインフレ対策のための金利上昇は継続し、円安に拍車がかかり、国内の物価にも影響を及ぼしています。 この状況ではコロナ禍が少し収まったとしても、ドルを買うのは避けておいた方がよさそうです。 さて今回は、コロナ禍、インフレ対策の金利上昇や、ロシア・ウクライナの問題長期化などから懸念される景気後退により、ソフトウェアベンダーが対策として年次保守費用の増額に動き出した点について解説します。
プライバシー権とは何か
政治家や芸能人が、私事を記事にした週刊誌をプライバシー権の侵害として訴えることがあります。我々一般人も、公開していないはずの個人情報を用いた勧誘商法などに出会うと不快な気持になります。個人情報そのものが商品化され、年齢や資産などの階層別に収集された数千万人分の個人情報が業者によって利用されていることは、周知の事実です。だれしも個人の立場としては情報を他人に知られたくないと思う半面、業者の立場に立てば、効率よく広報活動を行うために個人情報を手に入れたいと考えます。このようなせめぎ合いの中では、両者の立場の折り合いをつける一定のルールが必要です。「プライバシー権」というものを規定してそれを守るための約束事を明文化することが必要になってきます。
一般にプライバシー権と呼ばれるものには二つの側面があります。第一は、「個人の私生活に関する事柄(私事)が他者から隠されており、他者の干渉を受けない状態」にあることを要求する権利、いわば「放置される権利」です。第二の側面は、「自己の情報を統制する権利」です。行政機関等が大量の個人情報をコンピューターで管理する情報化社会において、それが流用され悪用されることのないよう、個人が事業者に対して持つ権利と見ることができます。
欧米諸国のプライバシー権保護
「個人」の概念の強い欧米諸国でプライバシー権は「国家などの保有する自己に関する情報の訂正、削除などを個人が求めることができる権利」として発達してきました。そして情報化社会の進展に合わせて、OECD(経済協力開発機構)は、1980年に個人情報の権利を守るための8原則を採択しました。それは次のようなものです。
(1) 収集制限の原則 : 個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。
(2) データ内容の原則 : 収集するデータは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。
(3) 目的明確化の原則 : 収集目的を明確にし、データ利用は収集目的に合致するべきである。
(4) 収集制限の原則 : 利用制限の原則 : データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。
(5) 安全保護の原則 : 合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。
(6) 公開の原則 : データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。
(7) 個人参加の原則 : データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。
(8)責任の原則 : データの管理者は諸原則実施の責任を有する。
我が国のプライバシー権保護
わが国では、2003年にようやく個人情報保護5法と政令507号が成立し、2005年から全面施行されました。こちらは「個人対国家」という側面は薄く、「企業の個人情報流出事故を予防する」ためのルールであるのが特徴です。また、事業者の個人情報に対する不正行為を直接的に罰するものではなく、あくまでも「事業者が個人情報を流出させ、その報告を監督官庁に対して行わなかった」場合にそれを罰することを規定するものです。どのような義務(努力義務含む)が課せられるのかを簡単にまとめます。
1)利用目的の明確化
・利用目的をできる限り特定しなければならない。(15条)
・利用目的の達成に必要な範囲を超えて取り扱ってはならない。(16条)
・利用目的を通知又は公表しなければならない。(18条)
・利用目的を変更したときが通知又は公表しなければならない。(18条)
2)不正取得の禁止
・偽りその他不正の手段により取得してはならない。 (17条)
3)個人情報の管理
・正確かつ最新の内容に保つよう努めなければならない。(19条)
・安全管理のために必要な措置を講じなければならない。(20条)
4)従業者と委託先と監督
・従業者・委託先に対し必要な監督を行わなければならない。 (21条、22条)
5)第三者提供
・本人の同意を得ずに第三者に提供してはならない。(23条)
6)本人の関与
・事業者名、利用目的等を本人の知り得る状態に置かなければならない。 (24条)
・本人の求めに応じて保有個人データを開示しなければならない。 (25条)
・本人の求めに応じて訂正等を行わなければならない。 (26条)
・本人の求めに応じて利用停止等を行わなければならない。(27条)
・ 適切かつ迅速な苦情の処理に努めなければならない。(31条)
主務大臣は、個人情報取扱事業者に対し、これらの違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告又は、命ずることができ(34条)、命令に違反する事業者は6月以下の懲役または30万円以下の罰金に処せられることがあります。
Pマーク制度の発足
先に述べた個人情報保護法が制定されるより前の1998年4月、財団法人日本情報処理開発協会(JIPDEC)によって、P(プライバシー)マーク付与認証制度が開始されました。これは、1997年3月に経済産業省が民間企業に向けて公開した「個人情報保護ガイドライン」に基づいて、一定の要件を満たした事業者の個人情報保護活動に対し付与されるものです。
また、これと並行して同ガイドラインに基づき、1999年3月、経済産業省が、日本工業規格「JISQ15001:個人情報保護に関するコンプライアンス・プログラムの要求事項」を発行し、2006年には個人情報保護活動を重視する「JISQ15001:個人情報保護に関するマネジメントシステムの要求事項」へ改定を行いました。Pマークの審査基準も、JISの改定を受けて更新されています。認証付与制度が始まった1998年から現在まで、11,363社がPマークの認定を受けました。
Pマーク制度の役割
このように、第3者が企業の個人情報保護活動を評価する制度により、消費者はより安心して個人情報を事業者に預けることができるようになりました。
しかしながら、Pマークを取得した企業が個人情報を漏洩する事故が依然として起きていることを考えると、マネジメントシステムだけでは不十分なのかもしれません。
企業が起こすコンプライアンス違反といえば、2006年5月に施行された新会社法によって、故意に不正を隠すなどのコンプライアンス違反を起こした企業に対して、厳しい罰則が科されるようになり、企業はあらゆる局面で「内部統制」を求められるようになりました。
日本の内部統制の仕組みは、1992年に米国のトレッドウェイ委員会組織委員会(COSO)が公表したフレームワークが標準といわれています。COSOフレームワークは、まず内部統制の目的として、「業務の有効性・効率性」、「財務諸表の信頼性」、「関連法規の遵守」の3つを掲げています。そして、内部統制を実行するために必要な要素として、「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」の5つをあげ、この5要素を経営者及び従業者が継続的に評価するプロセスを有することによって内部統制が実現するといわれています。この構造は個人情報保護マネジメントシステムのPDCAサイクルと似ています。
Pマーク認証取得企業の大部分がPマーク取得後数年たつと入退室管理装置の設置等の物理的安全管理対策やPDCAサイクルを形式的になぞる状態に陥りやすく、挙句に情報流出事故を起こす場合さえあります。今後、個人情報保護マネジメントシステムにも内部統制と同じように個人情報保護本来の目標を明確に設定することが重要と考えられます。例えば以下のようなものです。
個人情報取扱い業務の有効性・効率性を実現する
個人情報を含む情報資産取扱いの信頼性を高め、維持する
関連する法規を遵守する
これらは新会社法の「リスクの評価と対応」、「事業活動に関する法令遵守」にかかわるものであり、またOECD8原則とも重なります。 今後、Pマーク制度はどのような位置づけで、どのような役割を果たすべきなのか、また各企業はどのような取り組みをすべきなのかを、次回から4回に分けて解説していきます。
連載一覧
筆者紹介
代表取締役 久野 茂(くの しげる)
日本電気株式会社(ソフトウェア生産技術の研究・開発に従事)および株式会社日本総合研究所(経営システムコンサルタントおよびソフトウェア開発プロセス改善に従事)を経て、現在は経営とITの橋渡しを専門とするITコーディネータ。
コメント
投稿にはログインしてください