最近になって、ようやく日本社会でも「個人情報」という言葉に注意が向けられるようになりました。新聞には「個人情報漏洩事件」という文字が躍り、テレビでは漏洩企業の責任者が頭を下げる映像を何度も目にするようになりました。

このように、私たちは、毎日の生活の中で「個人情報」問題に触れていますが、真の意味で「個人情報」を理解しているでしょうか？皆様は「プライバシー」と「個人情報」の違いがお分かりでしょうか？また、企業の第三者認証である「Ｐマーク」と「ISMS」の相違を説明できますか？

私たちは今、情報化社会で生活し、その情報の被害者になることもあれば、加害者になることもあります。「知らなかった」では済まされない世の中です。まずは、「個人情報」とは何か？について認識しておく必要があります。講座では、この点に関してから解説を行いました。

『「個人情報」とは何かを再確認する』

その後、最近の顧客情報及び個人情報流出・漏洩事件を洗い出していくことにより、情報セキュリティの重要性の認識を図りました。

ここで注意すべきことは、個人情報流出において、件数や内容はほとんど関係ないことです。件数が少なくても、「個人情報が流出したという事実」が企業に大きな打撃を与えるのです。それに加え、顧客や取引先の信頼を失うことになります。また、信用回復にも多くの時間と費用がかかることも認識しておくことが必要です。

『個人情報を流出したという「事実」が企業に大きな打撃を与える』

ここではまず、「個人情報保護法」について解説を行い、企業において、どんな情報が「個人情報」に含まれるのか、考えていただきました。

最近の顧客情報漏洩事件の影響もあり、「個人情報＝顧客情報」だと思われがちですが、それ以外にも企業は様々な個人情報を保有しています。例えば、組織を支える「従業員」の情報はもちろん個人情報です。正社員だけでなく、契約社員やパート、アルバイトなどの情報も含まれることに注意しなければなりません。

『パート、アルバイトを含む「従業員」の情報は個人情報である』

従業員の個人情報の中には「健康診断関連情報」がありますが、これに関しては、個人情報に加えて、プライバシー情報・機微な情報として、適正管理されなければなりません。

また、顧客の個人情報には名刺や年賀状も含まれることを押さえておく必要があります。

『個人情報の洗い出しが必要』

組織が個人情報を保護するためには、やるべきことがあります。それは「リスク対策」です。今、このレポートを読んでいる皆さんの会社では、「個人情報調査」を行っているでしょうか？

会社が保有する情報のうち、どれが個人情報で、それらが何件あるか、どこに保管しているかなどの調査を行う必要があります。

『個人情報調査を行いましょう』

そして、調査が終われば、問題に対するリスク対策を講じ、役員を含めた全従業員にリスク教育を行う必要があります。個人情報漏洩事件のうち、約8割（セコム調べ）が内部犯行だと言われています。つまり、社内の人間の誰かが情報を漏らす危険性があります。そうならないためにも、組織は十分な教育を従業員に実施しなければなりません。

『全従業員対象にリスク教育を実施することが重要』

演習として、受講生の皆様に「個人情報保護＆情報セキュリティの自己チェック」を行っていただきました。質問は25問あり、チェック後はセキュリティ評価を行い、自分のセキュリティ意識や行動を診断しました。

このチェックリストによって、ご自身のセキュリティ意識を高めていただき、今後リスク対策として何をしていけばよいかの参考にしていただければよいと思います。

『自分のセキュリティ意識と行動をチェックしてみましょう』

「情報セキュリティガバナンス」とは、「企業がIT事故について自身の被害の局限化という観点に止まらず、コンプライアンスの確保や、IT社会の一員としての社会的責任を果たすという観点から、情報セキュリティを適正なレベルで確保する構造」と、情報セキュリティ総合戦略策定研究会は定義しています。

つまり、個人情報漏洩などの問題は「企業内の責任」という考えではなく、「社会的責任(CSR)」(*3)にまで発展するという考えです。

これはISO26000としてISO化されることも予定されています。ISO26000とは企業や組織の社会的責任(CSR)に関する規格です。

このような社会的な動きに合わせて、組織は個人情報を保護することはもちろん、社会的責任も果たすことが重要になってくるでしょう。

『組織は個人情報を保護し、社会的責任を担うことが重要』