最近、アンケート調査の仕事をしている。アンケート調査はごく一般的な調査手法の一つであり、筆者もこれまで何度か経験している。しかし、今やアンケート調査は実施責任者にとって極めて気苦労が多い仕事の一つになった。いわゆる個人情報を扱うことになるからだ。
拡大する個人情報漏洩事故
折りしも、Yahoo! BBの個人情報漏洩事件が過去最悪のものになり、個人情報の問題に対する世間の目も顧客の目もかなり厳しいものになっていた。
しかも、昨年あたりから個人情報の漏洩は、詫び状を出せば済むというものではなく、何らかの賠償を求められるケースが増えている。日本ネットワークセキュリティ協会の 「2002年度情報セキュリティインシデントに関する調査報告書」 によると、個人情報の漏洩事件・事故で企業が想定する損害賠償被害額は1件当たり2億4000万円強だという。今回のYahoo! BBの事件では、1人当たり500円の賠償を支払うことを決めたソフトバンクBBは、単純計算で20億円強を支払うことになるが、なお、その賠償額では不十分だという批判の声が被害者から噴きあがっている。個人情報の漏洩は、企業経営にも重大な影響を及ぼすリスクになってきたのである。
プライバシー制度による内部統制
さて、問題は筆者のアンケート調査である。
当社の場合、経済産業省の個人情報保護ガイドラインに準拠した制度 に基づき、個人情報を適切に扱っているという プライバシーマーク を取得している。 そのため、個人情報を扱う今回のアンケート調査も、このガイドラインに準拠した社内ルールに基づく厳格な運用を求められることになる。
例えば、委託元から預かる個人情報の管理。読者のなかには「何故、自分にこんなアンケートが送られてきたのか」と不信に思う方もおられるだろう。委託元が、今回のような調査目的で外部に個人情報を預託できること、この預託を受けて、当社が適正な個人情報の管理を行うこと、などをきちんと説明する。また、読者も気にされるであろう個人情報の保管であるが、むろんアクセス統制された社内のしかるべき場所に格納され、その出し入れも記録化するルールである。
こうした内部統制上の手順を厳格に実施するだけでも、かなりの時間と神経を使わなければならない。
手順を踏めば良いというものでもない
しかし、手順を踏んでいればそれで十分という話でもなかろう。今回のアンケート調査では、メンバーと相談して幾つかのことを実践することにした。
まず、自分達が責任を負える範囲から、個人情報は出さないこと。システム的なセキュリティをどれだけ固めても、業務に携わる人間に問題があれば手の施しようがない。漏洩した際に損害が大きい個人情報の元帳などは、集中管理し、責任をもって管理できる一部のメンバーのみが扱うようにするに限る。スケジュールがきついため、一部の作業を外部の業者に委託することも検討したかったが、これは断念した。
また、当たり前のことであるが、不要な個人情報は徹底して廃棄すること。例えば、誤って印刷してしまった宛名シールも直ちにシュレッダーにかける。今回は、廃棄したなかに本物の宛名シールが混じってしまったため、数千件の郵便物をチェックし直すというおまけがついてしまった。
アンケート調査にも保険の時代?
いろいろと苦労しているアンケート調査であるが、これで個人情報が漏洩するリスクはかなりの所まで抑えられているだろう。しかし、仮に漏洩した場合の損害を考えると、アンケート調査が抱えるリスクが増大していることは間違いない。財務力が十分とは言えない情報サービス業者にとっては、個人情報の管理態勢の強化はもとより不可欠なことであるが、問題が発生した際の保険のことまで考えなければいけないのか、と考えてしまう。