Enterprise Watch
連載バックナンバー
2007年
2006年
2005年
2004年
2003年

個人情報保護法で情報システム大激震!

第一回・コンピュータ世界のトレンドを作った個人情報保護法


 2005年4月、全面的に施行された個人情報保護法。氏名、住所、電話番号など個人に関する情報を、企業などが取得する際の利用方法を明確化することを義務づけ、情報漏えいのようなトラブルが起きないよう管理を徹底するように求めたこの法律の影響が、さまざまな場面で起きている。特に近年、情報システムが情報漏えいのきっかけになった事件が増えていることから、その影響は大きく、社内の情報システムの見直しを実施する企業も多くなっている。1つの法律が情報システムに大きな影響を与えたのである。


開始直後は大きな事件もなく静かに推移

 4月1日、いよいよ個人情報保護法が全面施行された。

 企業の大小を問わず、5000人分以上の個人情報を持つ企業などに、情報の管理などを徹底する義務を定めた法律が個人情報保護法だ。

 紙の帳面に手書きで書かれた個人情報が流出したとしても保護法の対象となるものの、大量のデータを蓄積するためには、パソコンなどITの活用は不可欠。実際にこれまでに流出が問題となった事件の多くが情報システムがらみだったこともあって、個人情報保護法=情報システムとイメージする人も多いのではないか。

 施行前には、連日個人情報の漏えい事件が報道されたこともあって、「早々に、見せしめのためにトラブルを起こした企業がピックアップされ、世論で叩かれるることになるのではないか?」という見方をする人が多かった。が、実際には4月1日から10日までの間には大きなトラブルは起こらず、施行直後は予想に反して静かに推移している。

 このまま、個人情報の漏えい事件はなくなっていくのだろうか?―現実的にはそれは難しいだろう。情報漏えい対策の専門家は、「どんなに強固な対策を作っていても、情報が流出するリスクを完全になくすことはできない」と口をそろえる。

 それどころか、「個人情報保護法の影響を受けて、倒産する企業さえ出てくるのではないか」と厳しい見方をする人もいる。

 「個人情報保護法への注目が高いだけに、情報漏えいしてしまった企業に対しては世間の目が厳しくなる。それまでその企業と取り引きしていた企業も、少なくとも世間が納得するまでは取り引きができないといった事態が起こり、売り上げが激減。倒産に追い込まれるといったケースも出てくるのではないか」というのだ。

 実際に昨年、個人情報保護法施行前ではあるが、通信販売の大手であるジャパネットたかたが情報漏えい発覚後、自主的に営業を自粛した例もある。情報漏えいが企業に与えるダメージは計り知れないものがある。


ほぼ実現が難しい、「絶対に安全」

日立製作所のセキュリティソリューション推進本部セキュリティマーケット開発部、金野千里担当部長
 それでは問題となりやすい情報システムには、どんな対策がとれるのだろうか?

 かつて、住基ネットが稼働した際、当時の総務省大臣は、「住基ネットは絶対に安全」と言い切った。しかし、ITやセキュリティに詳しい人ほど、このことばに違和感を覚えたはずだ。

 残念ながら、絶対に安全な情報システムネットワークを構築するのはほぼ不可能といっていい。

 その理由を日立製作所のセキュリティソリューション推進本部セキュリティマーケット開発部、金野千里担当部長は次のように説明する。

 「これまでのセキュリティ対策は、ネットワーク部分を強化するために外部からの侵入を防ぐファイアウォールを導入する、といったことで事足りた。しかし、守る対象が個人情報のようなコンテンツ部分となると、サーバーへのアクセス制御といったすぐにできる対策に加え、業務フロー自身の見直しといった日常業務での対策や、パソコンを廃棄する際にどういった対策をとっているかといった将来対策まで必要となってくる」

 企業が本格的に個人情報保護法対策をとっていくためには、社内にどんな個人情報があるのかを洗い出し、それを誰がどう管理し、利用しているのかを明確にした上で、また、それぞれの情報に対してどんなリスクがあるのかを明確にした上で、1つ1つのリスクをつぶしていく必要がある。

 対策は一部分だけでは済まない。範囲が広いだけに対応するためのコストも膨大になったり、日常の業務に支障を来す部分も出てくるため、リスクの重要度に応じて、かけるコストや利用しやすさとのかねあいといったことを調整する必要も出てくる。

 また、その時は万全と思われていても、技術の進展によって安全とはいえない状況となってりまうこともある。

 ひとくちに情報漏えいといってもさまざまな事態が想定できるため、すべてに対策をとるというのはほぼ不可能といっていいのではないか。


“漏えいを少なくする情報システム”への模索始まる

 ただし、情報漏えいが少なくなるように情報システムを変更することは可能である。

 クライアント側の機能を制限するシンクライアントへの注目が急速に高まっていることも、個人情報保護法の影響の1つだ。シンクライアントは、クライアントの機能を抑えてしまうことで、余計な作業ができないように制限をかけたクライアントである。クライアント/サーバー型コンピューティングが、複数のサーバーをたててクライアントの権限を増やす、分散型のシステムであるのに対し、シンクライアントは中央のサーバーの権限に重きを置く「中央集権型」のシステムだ。

 これまでにもシンクライアントがクローズアップされたことは何回かあった。だがその要因となったのは、主にコンピュータ技術の進化だった。

 クライアントの機能が高まり、管理が難しくなってくると、サーバー側の機能を高めてクライアントの機能を軽くするシステムが登場する。利用されるコンピュータがメインフレームだったり、パソコンサーバーだったりといった変遷はあるものの、極論すればコンピュータの歴史を振り返ると、中央集権型の集中型システムと、分散型のシステムがはやっては廃り、はやっては廃りを繰り返しているといっていい。

 ところが、2005年になって日本の企業ユーザーがシンクライアントに注目するのは、「個人情報保護法対策」をにらんでのことだ。コンピュータの技術進化による、集中と分散の流れから出てきたトレンドではない。

 技術の進化とは違う要素がトレンドを作ったということで、個人情報保護法はコンピュータの世界にとっても大きな影響を与えるものだといっていいだろう。

 これは一例だが、では、実際のユーザーのシステムは、個人情報保護法施行によってどう変わっているのだろうか?次回以降は、ユーザーに対面してシステム構築を行っている企業に取材し、その実態を紹介する。



( 三浦 優子 )
2005/04/20 00:00

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.