WEB VISION OKAYAMA

特集対談 (株)ザイン代表取締役社長 手銭克巳氏   三井住友海上火災保険(株)岡山支店長 佐々木靜氏

情報漏洩防止に“絶対”はない 今あるリスクに「対策」が必要

  • 手銭克巳氏(左)と佐々木靜氏

 全国で企業を中心に情報セキュリティへの関心が高まる中、平成17年4月から個人情報保護法が全面施行される。関連のセミナーが開かれると定員オーバーの会場が続出していることが関心の高さをうかがわせる。保護法のポイントとは何か、個人情報だけでなく企業情報の漏洩事故を未然に防ぐにはどのような考え方や管理が重要なのかを、経営コンサルタント・(株)ザイン社長の手銭克巳氏と、6月に賠償責任保険「個人情報プロテクター」の取り扱いを開始し、ザインと連携して事故を起こさないためのサポートに力を入れている三井住友海上火災保険(株)岡山支店長の佐々木靜氏に聞いた。

産業分野別ガイドライン
保護法対策の参考に

 -保護法のポイント、企業として注意すべき点とは。

 手 銭 まず5000件以上の個人情報を有する企業・団体は全て法の対象になってきます。これまで民法に基づいて処理されていた“罰則”が規定という形で盛り込まれているのが特徴で、これについてはどの企業も非常に関心が高いようです。法人の場合、法に抵触すれば罰金刑や懲役刑が課される可能性も出てくるのです。

 佐々木 留意すべき条項として、利用目的の特定と目的の範囲内での利用(第15、16条)、安全管理措置(第20条)、従業員の監督と委託先の監督(第21、22条)、本人の同意なしの第三者提供の原則禁止(第23条)などが挙げられます。特に情報セキュリティに大きくかかわるのが安全管理措置と従業員の監督・委託先の監督なのですが、安全管理措置については具体的内容が規定されていないため、今後行政や業界団体等から出されるガイドラインを参考にどこまで対策を講じるのか検討しておく必要があるでしょう。

 手 銭 経済産業省が全産業を対象にしたガイドラインを今年6月に出してはいますが、これでは対策を講じるには不十分。例えば病院に関して、生存する患者の情報管理については記されているが、その患者が病院で亡くなった場合、個人情報を即公表していいのかといえばそうではない。“読み替え”が必要になってくるのです。だから年内には産業分野別の詳細なガイドラインが出る予定になっています。

 -業務連携の狙いは。

 佐々木 当社グループにはシンクタンクの(株)インターリスク総研(東京都)があり、リスクマネジメントに関するコンサルティングを行うことは可能ですが、地元のコンサルタント会社として実績と信頼のあるザインさんと協調することで、迅速かつ現場密着型の対応が可能になると考えたのです。企業にとって適切なアドバイスを与えられるコンサルタントが身近にあることが大切。保険が具体化するのは事故が発生した後ですが、当社ではまず「事故の発生を未然に防ぐ」ためのサポートが重要であると考え、ザインさんと連携することによって、お客さまに対するより強力なサポートが展開できると確信しています。

 手 銭 プライバシーマークやISMSなどの情報保護対策を構築する上で細かなセキュリティツールや仕組みがあるわけですが、最後には「保険」という手段がある。様々な保険の中身を見てみましたが、これからあるべき保険の中で三井住友海上さんの商品が一番いいものではないかと思うと同時に、いろんな企業の仕組みづくりをお手伝いさせていただく上で、安心してお勧めできる保険であることが連携させていただく大きな理由です。

漏洩しない仕組みが重要
残存離隔には保険も

 -自分の会社は絶対に事故を起こさないと自信を持っている経営者は多い。

 手 銭 これまで“事故”を起こし、新聞報道された会社は数多くあります。そのうちどの会社の社長も事故が起こるまではそれなりに“自信”をお持ちだったと思います。しかし、「絶対」はないのです。個人情報保護対策には大別すると3つの側面があると思います。1つはハード面における「セキュリティツールの導入」、2つ目は教育を含めた「仕組みづくり」。ただし、リスク評価に基づいてどんなに対策を講じてもリスクは残る。これを“残存リスク”として認識し、残存リスクに起因した事故による経済的損失をカバーするものが3つ目の「保険」ではないでしょうか。

 佐々木 当社では個人情報漏洩対策で重要な点は4つあると考えています。利用しない個人情報を保有しないなどの(1)「リスクの回避」、従業員教育の徹底やセキュリティ強化などの(2)「リスクの予防」、漏洩時のマニュアル策定や漏洩原因究明対策などの(3)「リスクの軽減」、そして(4)「リスクの転嫁」(保険の加入)です。ただしリスクの転嫁は最終手段であって、保険の加入が個人情報保護法で求められている対策を講じたことにはならないし、万が一事故が発生した場合の社会的信用の低下や失墜は保険ではカバーできません。だから「保険ありき」ではなく、事故を起こさないための対策が重要になってくるのです。

 -コンサルティングで伝えたいことは。

 手 銭 企業情報を漏洩させる社員は我が社にはいないとか、部外者に盗まれる心配はないとかではなくて、情報漏洩事故が起きるかもしれないというリスクに対し、自分の会社はどんな対策ができているかをお考えいただきたいのです。誰もがいつでも見ることのできる個人情報を会社としてどのように管理しているのかを聞くと、特別に管理しているわけではないという企業は多い。逆に漏洩事故が起きて新聞報道された企業でも、情報管理がとりたてて杜撰だったわけではない。1人の従業員が情報の入った媒体をどこかに忘れてきたり、会社内のある部署の管理が怠慢だったために会社全体の責任が問われるケースに発展しているのが実態だと思います。

 佐々木 昔は従業員のミス、過失があまり社会的に大きなこととして取り上げられなかったが、最近は犯罪行為、例えば車上荒らしとか盗難などによって個人情報が漏洩する“被害”に遭うケースが急増しているのも事実です。

賠償責任保険
「個人情報プロテクター」

 -賠償責任保険「個人情報プロテクター」とは。

 佐々木 企業の個人情報漏洩による賠償金や対応費用を補償するとともに、簡易リスク診断サービス(無料)を導入した「リスクコンサルティング融合型」の新しい賠償責任保険です。個人情報の外部への持ち出しや自分の利益のために売却するといった従業員の不正行為も対象になり、企業が賠償責任を負った時に基本補償で対象とします。また、企業が個人情報の漏洩事故発生により当社への通知日から180日以内に行った事故解決のために支出したコンサルティング、見舞金、謝罪広告宣伝活動などで要した費用に対しても保険金を支払います。

 -セキュリティ対策の度合いによる保険料の割引は。

 佐々木 保険料は業種、年間売上高、賠償金額などをもとに簡易リスク診断の結果を踏まえて算出しますが、情報管理体制の診断結果で最大30%、プライバシーマーク等の認証取得で最大30%、合算して最大40%の割引が適用されます。

日商が「保険制度」創設
11月1日から募集を開始

 -日本商工会議所の賠償責任保険制度に採用されましたね。

 9月に日本商工会議所が「個人情報漏えい賠償責任保険制度」の創設を決議したばかりで、これは当社の個人情報プロテクターが採用され、当社が契約事務幹事会社を拝命したものです。10月5日に県下13商工会議所の専務理事会議において、制度の説明がなされたところです。11月1日から全国の会員企業(約154万社)を対象に募集が始まり、保険開始日は来年3月1日。加入会員事業者数に応じた団体割引(20%)があり、全国各地の商工会議所の協力を得ながら個別に加入するより割安な制度として普及させていく方針です。

 -プライバシーマークの認証を取得するまでの流れは。

 手 銭 JISQ15001に準拠した仕組みづくりが必要になります。要求事項にコンプライアンス(法令遵守)プログラムの作成もうたわれており、作成後一度運用し、内部監査を実施し、不適合があればそれを抽出。その不適合を是正して、それまでの記録を添付し初めて申請が可能になります。申請前までの仕組みづくりには3~4カ月が必要。JIPDECに申請してからさらに4~5カ月ほど要します。関心が高く受審企業が増えていく反面、審査員の数が少ないため、取り組みが遅れればその分、申請から審査・認証取得までの“待ち時間”が長くなります。つまり早い認証取得をお考えならば申請を早くしておかなければなりません。またプライバシーマークを取得しても、漏洩事故を起こせば認証は取り消されることもありその後2年間は申請できないという制度でもあります。

 -漏洩事故防止策を講じる上で重要な考え方、注意点は。

 佐々木 個人情報管理はシステム管理だけの問題ではありません。情報を取り扱う「人」の管理であるという考え方から、情報管理業務を統括する組織・責任者を明確にする、情報・人・業務の関連性を押さえて社内の情報の流れの全体像を把握することが肝要です。さらに、問題点を洗い出して、必要なルールを整備するとともに対策を実施し、万が一漏洩事故が起きた場合の対応フローについて事前に検討しておくこと、また従業員教育の中で禁止事項は何か、違反した場合はどのような影響があるのかを周知徹底させ意識の向上を図ることも重要でしょう。漏洩事故は今日、明日にも起こるかもしれないのです。だから1日も早く取り組まれることをお勧めします。

 手 銭 情報セキュリティに関するセミナーに参加し積極的に情報を入手してください。リスク簡易診断(無料)も実施しておりますので、気軽に声を掛けてください。自社にとって何が必要で必要でないか、 “必要”の度合いや順番を明確にすることが先決です。

プロフィル
 手銭 克巳(てぜん・かつみ)氏
 島根県出身。昭和54年関西大学大学院修了。理化学研究所、非鉄関連企業勤務を経て平成12年ザイン・コンサルタンツファーム創業、14年(株)ザイン設立。同社代表取締役。ISMS主任審査員、労働安全コンサルタント。49歳。

 佐々木 靜(ささき・しずか)氏
 宮城県出身。昭和52年福島大学経済学部を卒業し住友海上火災保険(株)入社。人事部、開発営業部、自動車保険部を経て平成13年10月三井住友海上火災保険(株)人事部副部長就任。15年4月から同社中国本部岡山支店長。51歳。

PAGETOP