企業の情報漏洩防止対策､過半が｢不十分｣

企業の情報漏洩防止対策、過半が「不十分」（２００４年１２月２９日付日経）

日本経済新聞社が国内主要企業を対象に実施した「企業の情報セキュリティ－調査」によると、自社の情報漏洩防止対策を「不十分」と考える企業が53.5％を占めたようである。また２００５年に関連投資を増やす企業も73.5％に達した。

この調査は、昨年１２月上旬から中旬にかけて対象４１６社、２５９社からの回答を得た結果によるものである。

この調査によると、情報流出の原因として「社員による不正持ち出し」（34.8％）、「外部の業務委託先からの流出」（25.4％）などが懸念されており、「外部のシステム不正進入」（1.9％）は懸念原因としては少なかったようである。

また今年４月に完全施行される個人情報保護法への対応については、「４月までに対策を施す」（84.8％）がほとんどで、「すでに十分な対策を実施」（3.9％）は少数であった。

個人情報の保護に関する法律は、平成１５年５月３０日に公布された。この法律は、個人情報保護に関する基本法部分（第１章～第３章）と一般法部分（第４章～第６章）から成り立っており、原則として公布日に施行されたが、一般法部分（第４章～第６章）は、平成１７年４月１日より施行される。

この法律のポイントは、１）個人情報の利用方法による制限（利用目的を本人に明示）、２）個人情報の適正な取得（利用目的の明示と本人の了解を得て取得）、３）個人情報の正確性の確保（常に正確な個人情報に保つ）、４）個人情報の安全性の確保（流出や盗難、紛失を防止する）５）個人情報の透明性の確保（本人が閲覧可能なこと、本人に開示可能であること、本人の申し出により訂正を加えること、同意なき目的外利用は本人の申し出により停止できること）から成り立っている。

この法律により、本人の了解なくしての個人情報の流出や売買、譲渡は規制されることになる。国の定める一定数以上の従業員を持つ企業体や、大量のカルテを有する医療機関など、個人情報をデータベース化する事業者は、個人情報を第三者に提供する際に、利用目的を情報主体（本人）に通知し、了解を得なければならない。また、不正流出防止のための管理を行う義務が発生する。

そして、この法律に違反した場合、情報主体の届出や訴えにより、事業者に刑罰が科される。

例えば、個人情報取扱事業者が「利用目的の制限」「適正な取得」「取得に際しての利用目的の通知等」に違反し、主務大臣の命令に違反したような場合、６か月以下の懲役又は３０万円の罰金に処せられる。

昨年大手企業などの個人情報流出が明るみに出、個人情報に関する国民の意識は高まってきている。そこへ、今年４月１日からの個人情報保護法の完全施行。

今回の調査にもあるように、各企業の駆け込み対策が今後十分予測される。

当事務所でも、東京のあるベンチャー系企業と業務提携を行い、特にインターネット上で個人情報を取得する企業向けのＳＳＬ、プライバシーマーク対応のＡＳＰソフトを人材紹介会社、人材派遣会社などにご紹介している。各社ともかなり関心が高いようである。

今回の調査にあるように、個人情報保護の対策は、自社社員、取引先企業、サーバーなど各所に必要である。個人情報の取得、保管、持ち出しについて、今後特に個人情報を取り扱う企業において、その対策が急務と言えよう（角野）。