個人情報保護法施行１０年目の現実

個人情報保護の歴史は1980年のOECD理事会勧告の「プライバシー保護と個人データの国際流通についてのガイドライン」にさかのぼる。この勧告を受け各国で法整備が進められた。日本でも個人情報の保護に関する法整備は進められていたが、1999年6月の住民基本台帳法の改正を契機に法整備の動きが加速。2003年5月23日に個人情報保護法が成立し2005年4月1日に全面施行となった。

今年は個人情報保護法の施行から数えて10年目の節目にあたる。この間、大小さまざまな個人情報の漏えいインシデント（以降、漏えいインシデント）が起こっている。NPO法人日本セキュリティネットワーク協会の調査によれば2005年の漏えいインシデントは1,032件であったが、それが2012年には2,357件と7年で2.3倍に急増している。漏えい者数は推定972万と、実に13人に一人が被害にあっている計算になる（※１）。

漏えいインシデントは個人だけでなく漏えいインシデントを起こした企業にも大きな影響を及ぼす。図1は2001年から2010年の間に上場企業で起きた漏えい件数5,000件以上の漏えいインシデントを対象に、漏えいインシデントが株価に及ぼした影響を、イベント・スタディと呼ばれる手法で分析したものである。

図1の横軸はインシデント発生日からの時間の経過を示しており、縦軸は漏えいインシデントによって生じたと推定される株価の異常リターンの累積値を示している。流出経緯や情報の種類は異なり、5,000件程度から500万件を超えるものまで多種多様であるが、漏えいインシデント発生後に累積異常リターンがマイナスに転じていることから、株価に負の影響を及ぼしていることが明らかである。またその影響がなくなるには20営業日、すなわち1ヶ月程度の期間が必要であったこともわかる。影響は株価の下落にとどまらない。この間の対応にも多大なコストを要したはずである。

漏えいインシデントは年々増加し、企業価値を毀損してきているが、企業も手をこまねいているわけではない。プライバシーマークを取得している企業が1万3千社を上回るなど対策に注力している企業は多い。一方で、多くの企業が情報セキュリティに関する阻害要因として「手間・コストがかかる」、「対策をどこまでやるべきかがわからない」という点を挙げている（※２）。

漏えいインシデントの多くはヒューマンエラーや内部犯行等の人的要因により起こる。管理体制・方法の不備による組織的な要因や不正アクセスのような物理的要因と異なり、人的要因に対する対策は比較的、手間やコストをそれほどかけることなく推進できる。その効果も、継続的な取り組みを通して評価しやすい。個人情報保護法の施行から10年目の節目を迎える今も、大規模な漏えいインシデントが報道されている。違法な手段で入手した個人情報がビジネスになる状況についても大いに議論されるべきであるが、企業としても、ここで改めて初心に帰り、できるところから個人情報漏えい対策を推進していく必要がある。

（※１）2012年 情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～（日本ネットワークセキュリティ協会）
（※２）平成25 年度情報処理実態調査の分析及び調査設計等事業調査報告書