輸出業者などがEUC域内で個人データを移動する場合、OECDの8原則に従って適切に個人情報が保護されることがEU指令25条によって義務付けられた。日本ではこれを受けて個人情報保護法が2003年5月30日に制定され、2005年4月1日に全面施行された。
個人情報保護法を巡っては、賛否両論があり、過剰反応、過小評価、萎縮効果と評されている。同法を制定した効果や有用性について検証し、個人情報保護のあり方を考える。
OECDの8原則(個人情報保護の原則)
OECDの8原則とは不正取得の禁止、利用目的の明確化、目的外利用の制限、安全措置、データの正確性、利用目的等の通知及び公表、訂正・利用停止権等の個人参加、適切な苦情処理を原則として謳ったもので、個人情報保護法の第4章に法制化された。
また個人情報保護法第一条(目的)には「(健全な事業の発展のために)個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」ことを定めた。
個人情報の漏えいによる問題
個人情報の漏えいが起こると、
ASPAMメールが増える
B訪問販売が増える
Cアポイントセールスが増える
である。
ところでコンピュータの発達というと、メモリーやc.p.u.速度はすぐに思い浮かぶが、犯罪の背景にはマッチングの技術の発展が大きく起因し、瞬時に騙され易い人を探し出す。
実際2004年1月17日に発生した三洋信販の事件では、架空請求詐欺の被害に遭う確率は、漏えいした個人情報の3000人に1人という非常に小さい確率であるが、116万件の流出情報の中からマッチングで「架空請求詐欺に騙されやすい人間」が容易に絞り込まれたものと考えられる。
個人情報保護法の制定後も、2007年3月12日には大日本印刷のDM印刷863万名分の流出と続き、個人情報保護法の効果が揶揄された。
個人情報保護法とJIS規格による効果
しかし経済産業省に寄せられた「報告件数の推移」では、個人情報の漏えいが平成17年度は1,169件であったものが、平成18年度は785件と、33%減少している。個人情報保護法の全面施行後、2年目には効果が現われた。
一方、個人情報の取扱いを要求事項として定めたJIS Q 15001の取得の効果は、(財)日本情報処理開発協会プライバシーマーク事務局の『平成17年度の個人情報の取扱いにおける事故報告に見る傾向と注意点』によれば、P-mark取得企業の個人情報の事件・事故の原因の上位は誤配送等が71.5%、置き引きが9.2%で、従業員による持ち出しや、紛失は激減している。
JIS Q 15001は2006年に改訂され、マネジメントシステムの考えが導入された。また個人情報の取扱いで発生する「個人情報への不正アクセス、個人情報の紛失、破壊、改ざん、漏えい」のリスクが発生しないように、個人情報のライフサイクルに沿ってリスク分析し、残存リスクを推定することが要求事項となった。認証取得すると、その証として「P-mark」が授与される。
know howからknow why
個人情報が漏えいすると、すぐに業者がやって来て、セキュリティを高めるためにはお金が必要ですよといい、狭い部屋に監視カメラが増え、総ガラス張りの部屋をスイッチ一つで見えないようにする装置など高い商品を購入させられる。その割には是正処置票には原因不明というものが多い。
個人情報が漏えいした現場に立ってみると、どことなく、従業員に落ち着きがなく、管理者が離席し、コンピュータルームが倉庫のようになっている。これは再発しますねというと、キョトンした顔で「どうしたらいいのですか」と尋ねてくる。恐らくQC屋であるならば、徹底して原因を追究し、原因が分かったところで、処置する。情報セキュリティや個人情報の保護に関してもQC的センスが必要である。
