「丸投げ」できない個人情報管理

最近、個人情報漏洩の問題がたびたびニュースとなっている。個人情報を企業や各種団体が扱うことはなにも最近始まったわけではないことを考えると、情報漏洩がこれまでにもあったであろう考えるほうが妥当である。それがこれだけ問題になっているのは、近年のネットワーク高速化、データ保存媒体の大容量化、PCなどデータ処理環境の低価格化といったIT面での「技術革新」によって大量の個人データの入手・運搬・処理が容易になったことが一因である。また、個人情報を意図しない用途への利用の問題意識が高まったこと、企業のリスク回避方法が問題の非公開から公開へ変化したことなどもその背景にあげられる。

情報漏洩の例を見ていて感じるのは、個人情報の扱いを外部企業に対してアウトソーシングした結果、その企業の不適切な情報処理から情報漏洩した、というのが非常に多いことである。情報取扱者が直接漏洩に携わったというものから、システムの安易な問題点を放置したことによるものまで、様々な原因があげられている。いずれの場合も当然であるが情報処理企業における個人情報体制が大きく問題視されている。その反面、委託元の状況に関しては、顧客に対する対応は重視されるものの、どのような判断で委託に至り、問題が発生しているまではどのような個人情報保護体制をとっていたのか、といった点については、情報処理企業ほど明確に問題視されていない。

その背景として、企業・団体によっては情報処理を単純に「丸投げ」している現状がある。もちろん、コアコンピタンスに集中し、適切にアウトソーシングを行う選択は当然必要である。ところが、そのような判断を通じて個人情報管理にリスクがあり、問題発生時のダメージをうけるのは委託元であるという認識がなされていただろうか。そのような認識が明確になっていないことこそ、そもそもの問題になったのではなかろうか。個人情報管理では、そのリスクを委託元が認識し、管理体制や技術を委託先が提供することで双方が協業することで回避するべきである。その上で、委託元・委託先で十分に処理方式を検討し責任範囲を明確にしたうえで、適切な管理体制を取ることが求められる。協業体制を整えられる委託先を選んだうえで、しかるべき処理・管理を行うことが必要になっているのである。そのためには、より一層現状の管理体制への評価と対応が求められる。

あわせて、そのような観点から「個人情報の保護に関する法律」では、委託先の監督を委託元の義務としている点を指摘しておきたい。個人情報管理に関する「丸投げ」を禁止し、適切に監督することを求めているのである。つまり、個人情報収集を行った主体による個人情報管理は、社会の常識的な項目として、法律すらも要求してきていることを強く認識する必要がある。