個人情報保護法の全面施行を受け、情報漏えい対策を中心に情報セキュリティ関連の動きが活発になってきましたね。

ええ。NECソフトでも情報セキュリティポリシーの策定といった根幹に関わる部分からのコンサルティングをはじめ、さまざまなソリューションやサービスの提供を続けてきましたが、ここ数年は、特に個人情報保護法に向けた対策の依頼が急激に増加してきました。関連セミナーなども随時開催してきましたが、いずれのセミナーも参加募集をかけたと同時に満席になってしまうほど。この件に関する関心の高さやニーズを肌で感じています。

確かに市場でも「個人情報を取り扱う関係上、個人情報保護法の15条から31条までの義務を果たさなければならない」ということで必死になってその対策を進めている企業も少なくないでしょう。ただ、その対策を施せば、それがイコール「個人情報の漏えいが起こらない」と思い込んでいる企業も、まだまだ多いのではありませんか？

おっしゃる通りですね。

法律家の立場から最初に注意を喚起したいのは、個人情報保護法は「個人情報漏えい防止策」ではなく、「個人情報利用調整法」であるということです。これまで日本の社会では、他人の個人情報は自由に使えた。何も法的ルールがなかった。それをこの4月1日からはルールが必要になった。大きな社会的変化です。意識を180度変える必要があります。自分の個人情報を、誰にどのように使わせるかを最終決定する権限を顧客が持っている（自己情報コントロール権）。この顧客のプライバシー権と利用との調整を図る、新しい社会ルールが個人情報保護法なんです。

「漏えいを起こさない」ということのみに偏ってしまっている傾向は強いですね。個人情報保護法の全面施行で注目が集まっているところに、さまざまな情報漏えい事件が報道されていますから、改めて危機感を募らせているお客様もたくさんいらっしゃいます。

そこで感じた危機感を、対策を施したことで緩めず、常に継続して持ち続けることが重要なポイントになってくるのですけれどね。

ところで、個人情報保護法をよく理解するためには、その成り立ちの背景を知っておくことが大事ではないでしょうか。

ええ、そうですね。1999年8月に住基ネットを利用するための住民基本台帳法の改正が決議されたときに社会的に個人情報の取り扱いをしっかりしようという機運が高まったのと、EU指令（95/46/EC）^※1の第25条（プライバシーマーク制度）に対応する動き、この2つの大きな流れがあることを忘れてはなりません。全都道府県、全市町村、さらに264の国の事務をつなぐ住基ネットという国家的なインフラで個人情報がやりとりされることを受け、国民一人ひとりの情報をしっかりマネジメントする仕組みが必要不可欠になったこと。そしてグローバルな環境の中で、国際経済社会の一員として人の動きや貿易といったことを互いにスムーズに進めるためのスタンダードとして、個人情報をきちんと取り扱える環境であることを宣言すること。これらの具現化のひとつが、今回の個人情報保護法なのです。

それらに加え、2003年5月23日に個人情報保護法が国会を通過したのと前後して、大規模な個人情報の漏えい事件が相次いだのも大きな要因と言えますね。

まったくです。むしろ法律が制定する以前より以後の方が頻繁化・大規模化していますよね。立法事実として想定したものをはるかに超える社会の勢いに、法に関わる者としても「個人情報保護法の罰則として直罰性があった方がよかったのでは…」と憂慮しています。

私たちの場合、数多くのお客様と情報漏えい対策を進めているのです
が、その現場で改めて感じることは、個人情報保護法の目的にも記されているように、「個人情報の有用性に配慮する個人の権利・利益を保護する」という部分、つまり個人情報は有用なのだという観点が見落とされがちだということ。ビジネスにとって、自社の成長にとって、顧客の情報は重要な武器となるのだから、過度に怖がらず、きちんとした体制に整備して流通させましょうよ、という捉え方にまで引き上げるのに時間がかかってしまいますね。やはり「漏えいを起こさない」ということに力点が偏りがちです。

漏れを防ぐということで、気分的に守勢に立ってしまいがちなのでしょうか。

そうですね。そこで個人情報を守りながら活用する重要性を伝えるためによく、“私たちの生活はどうやって守られているのでしょうか？”と問いかけることにしています。そうすると、国の法律、家や建物といった施設、それからモラルと、3つの観点があることに気付きませんか。この3つが揃ってはじめて安全な生活が成り立つわけです。会社の情報資産も同じです。社内のルールや規範、ファイアウォールやウィルス対策パッケージといったツール、そしてユーザー自身のモラル。中でも、ルール・規範がCP（コンプライアンス・プログラム）になるわけです。お客様はどうしてもツールばかりに目が行ってしまいがちですから、「まずはCPを固めましょう」ということからコンセンサスを得るようにしています。

とはいえ、市場の認識としては「何を最低限やれば法律的に大丈夫か」
という声が多いのではないですか？

圧倒的にそうですね。ですから、まず「ツールよりルール」を徹底します。すなわち「利用目的を特定し、利用目的の範囲内で使用する」という個人情報保護法の15条から18条の徹底、そして24条から31 条の情報主体に対する対応といったルール・規範をつくって定着させる必要があります。ただしこれらは、1年後、2年後を考えてみると、どの企業でも当たり前にやっていることになっているはずです。ところが、情報セキュリティのレベルは、環境変化に合わせて変えていかなくてはなりません。ツールの導入は、 20条の安全管理措置の情報セキュリティの部分になり、これらに関しては企業ごとにレベルが変わってきます。「これだけやればいい」という普遍的な基準値を定められない世界。だからこそ、その根幹となるルール・規範づくりと実践を基本として、業務の成熟度合いに応じて情報セキュリティの度合いをさまざまなツールによって高めていけばいい。この一連の流れを要約すると「個人情報保護法をきっかけに御社の情報セキュリティ文化を創出しなくてはいけない時期にきたのですよ」ということになる。私たちの情報漏えい対策のコンサルティングの根幹ですね。

「情報セキュリティ文化」というのは、ひとつの大きなキーワードですね。OECDも2002年7月25日理事会勧告として、新セキュリティガイドライン^※2をグローバルスタンダードとして発信しています。

しかし、実状では、まだまだ文化と呼べるほど情報セキュリティの世界が成熟しているとは、残念ながら言えないと感じています。まさに、個人情報保護法の全面施行を受け、スタートを切ったばかりの状態でしょう。私自身は法律と情報セキュリティの融合ができないか、ということにずっと取り組んできました。その中で、最近ひとつ気付いたことがあります。実は情報セキュリティというのは、何も突然降って沸いたものではないということ。例えばコンピュータに関わる情報セキュリティであれば、我が国に本格的に導入された昭和40年代から段階的にニーズが高まってきたのだろうし、それ以外のセキュリティはもっと以前から工夫されて取り組まれてきた部分があります。そういった観点から改めて情報セキュリティとして既存の法律などを再検証してみると、違った解釈で見えてくるものがあるのです。

なるほど。先生のような法律の専門家による法的な解釈から、新たな対策へのアプローチの発端が見えてくるのかもしれませんね。

ええ。例えば、地方公務員法の服務の規定などは、守秘義務だけではなく、さまざまな項目がセキュリティという言葉で規定されてはいないものの、情報セキュリティの確保に必要不可欠な機密性や可用性、完全性に関わるものが数多く定められていますね。だから、情報セキュリティは特別なことでは決してありません。自然で当たり前なこと。その地点に立って見直していくと、いろいろなヒントがあるかと思います。

先述の公務員の服務規定のほかに、何かお気付きになっていることはありませんか？

例えば、行政機関の個人情報保護法の中には、国の機関が国民の個人情報を処理する業務を外部の民間企業に委託する際、その民間企業にも公務員と同じ法的な扱いがかかるということになっています。具体的に言うと、何か漏えいが起こった際に、公務員と同じ刑罰が課せられるというわけです。公務というもののセキュリティの表れですね。これなどは、従来のビジネス上の契約関係を見直すきっかけになると思います。

システム開発や運用管理のアウトソーシングという局面での話ですね。

そうです。これまでの漏えい事件は、外部からの不正な侵入ではなく、
故意・過失による内部からの場合が多くを占めていますよね。この事実からだけでも、ネットワークや情報の運用管理を担う組織や仕組みに構造的な脆弱性があると判断せざるを得ません。IT業界では、注文を受けたSI 企業がアライアンス先や協力パートナーに業務委託することは珍しくないことですが、その際、アウトソーシング先や下請け、孫請け先でも自社と同じ情報セキュリティレベルを維持できているか、関係するスタッフ一人ひとりについてまで厳しくチェックする必要がSI企業にはあると思います。

ご指摘の通りですね。大きなプロジェクトになればなるほど、関係する会社や派遣スタッフなども多くなってきますから、契約条項に個人情報の取り扱いに関する項目を設けるなど、キチンとした対策は必要不可欠です。

労働法が絡む派遣スタッフとの契約や取り扱いなどは典型的な例です
ね。私たち法律家も、これまで見過ごしてきた部分と言えるかもしれません。これからは、情報セキュリティと契約を融合させた新たなサービスを提供していかなければならないでしょう。情報セキュリティを “文化”にしていくためにも。

ところで、ITソリューションの現場から見ても、情報漏えいは内部からの場合がほとんどだという見解になるのですが、だからこそ、個人情報やその他の情報資産をどう守っていくかをお客様に説明するとき、もはや性善説ではなく性悪説のスタンスになってしまうのですよ。後ろ向きかもしれませんが。

ある種、仕方がない部分ですね。

その視点から守るべき情報が、どこにどれだけあるかを精査して把握し、重要度の高い情報に関しては、性悪説に立って強く踏み込んだ対策を施すことが大事と訴えています。ただ、情報の保護と活用を考えて従来の機密保持や守秘義務を見直すと、どうしても保護の方に重きが置かれたものになっているのですね。本当は情報の有効活用を前提にした情報セキュリティ対策を講じないと、硬直化するばかりで意味がありません。天秤の両側にある保護と活用の均衡を保つために、常時監査や情報セキュリティポリシーの定着を試みる重要性も併せて説いています。

そういった組織マネジメントという観点から大局的に見ると、守らなければならない情報というのは、何も個人情報だけではありません。自治体にしろ、企業にしろ、営業秘密や特許、著作権、人事労務、戦略といった非開示の利益がある情報はたくさん存在します。

組織の情報管理は全体を見て進めていかないとダメですね。組織戦略のための情報システムを提供することが主眼である私たちにとっても、これからISMS^※3や内部統制制度の確立に向け、個人情報保護法への対策をきっかけにして真摯に取り組んでみてはいかがですかと提案することが多いです。

今回の個人情報保護法をきっかけに、認証取得に関わらずISMS の徹底と定着を実践していけば、組織の情報保護にそのまま適用できるはず。確かに、コンサルティングの依頼や社員教育といったさまざまなコストがかかってしまうでしょうが、それは個人情報保護法のクリアだけに必要なものではなく、今後の組織存続に関わる必要不可欠なコスト負担と捉え、全体の情報マネジメント体制を構築していってほしいですね。

長い目で見てお客様にとっての利益を創出するために、個人情報に関わらず組織の情報資産を守っていくITガバナンスをコーポレート・ガバナンスにまで高めていくことこそが、私たちの狙いです。

大きな動きにしなければいけないですね、情報マネジメントの体制づくりを。個人情報保護法への対策は、あくまできっかけにすぎない。トップマネジメントの層にも、いち早く認識してほしいところです。

先生には法律家の立場から、情報セキュリティについての法的な解釈と問題提起をいろいろとしていただきましたが、やはり、その根本にあるのは当事者のモラルですよね。いくら最新鋭のツールやパッケージを導入して防止策を施しても、どれだけ立派なコーポレート・ガバナンスを確立したとしても、その器の中で活動する人間のモラルが低ければ、どうしようもありません。性善説から性悪説の蒸し返しではありませんが、情報の価値が見直され、どんどん高まっていく中で、それに見合うだけのリスクが裏側にあることを常に意識し、お客様には「社員のみなさんに心のブレーキをかけてもらう努力を怠らないようにしましょう」と説明するようにしています。

いい言葉ですね、「心のブレーキ」というのは。私も「個人情報を保護する心を育成しましょう」ということを、常々伝えるようにしています。個人情報というものは、人の心がデジタル情報化されているもの。「心」も「デジタル」も目には見えません。人間もコンピュータと同じ情報処理システムなのですが、不可視な情報の処理は大変苦手なのです。その重みや不正に使用されたときの痛みといったことを、個人情報を取り扱う人間が理解していないとはじまりませんからね。そのような意識を持った人々が自主的に取り組む、「個人情報保護TQC運動」のような地道な活動も必要かと思っています。

一人ひとりの心の中に情報セキュリティの意識を根付かせ、それを自主的に芽吹かせ育ててもらう―究極は、やはりそこになりますね。私たちも、情報セキュリティ関連の製品やソリューション、サービスが、ユーザーにとってストレスなく自然に使えるようになるまで技術的な環境向上を推進すると同時に、そのユーザーの心に響く情報マネジメントのあり方やノウハウを提供するよう、より一層、努力していきたいと思います。