個人情報保護法が施行されて、もうすぐ1年が経つ。 個人情報の扱いについてはやや過剰な対策が取られているケースが多いように思う。 最初の1年目ということで、過渡期であることも原因だろう。 過剰なセキュリティ対策は、 本来実現すべき利便性の高いITサービスの提供を阻害する恐れがある。 セキュリティ対策に掛かる費用もバカにならない。 それでは中小の企業は個人情報を扱うことはやめるべき、 といった結論へと至ってしまうのではないかと不安になる。 これは正しい姿であろうか。
個人情報保護法は禁止法?
個人情報保護法の施行後、個人情報を扱うことに対する後ろ向きな意見を聞くようになった。
- 個人情報を持つことは危険なことなので個人情報を持たないほうがよい。
- システムで提供するサービスの利便性は二の次で、まずはセキュリティ対策を最優先しなければならない。
もちろん、この考え方は必ずしも間違ってはいない。 確かに、不必要な個人情報を保持することはやめるべきである。 データ漏洩対策を考慮せずにサービスの利便性のみを追及することは 絶対にあってはならない。
しかし、個人情報保護法とは、 個人情報を保持し活用できる基準を示したものに過ぎず、 決して個人情報の利用を禁止する法律ではない。 もちろん、法律であるがゆえに表現が曖昧で、 実際どのような対策を施したらよいかを、明確に示してはいない。 それゆえ安全を見て過剰な対策を取ったり、 個人情報の扱いを避けるといった方向に向かいがちだ。 個人情報を扱うことがマイナスのイメージになっているのは非常に残念である。
セキュリティ対策ソフトは何を守れるのか
こういった風潮を反映して、 セキュリティ対策ツールを名乗る製品が数多く発売されている。 しかし、ツールを闇雲に組み合わせても個人情報を守れるものではない。
一般的なユーザから見れば、 セキュリティ対策製品で具体的にどのようなリスクを軽減することができるのか、 ということは今一つ不透明である。 技術的な説明よりも、実際に何が守れて何が守れないのか、それが知りたいのだ。 その不透明さからくる不安から、 安全のために必要でない製品まで導入してしまうこともあり得る。 そして、セキュリティはともかく金が掛かると感じてしまうのである。
もちろん、セキュリティ対策にある程度のコストは必要である。 ツールを導入するという技術面の対策だけでなく、 運用面の対策と組み合わせて初めてセキュリティは担保できる。 様々なセキュリティ対策の製品をともかく導入するということは、最善の対策とはなりえない。
こういった点を明確にするためには、セキュリティ対策を体系的に整理し、 技術的な対策に加えて運用的な対策も含め、 どのような対策を行なうことが望ましいかの基準を作成することが有効だ。 この基準は、 情報セキュリティマネジメントシステム (以下、ISMSと記載)としてまとめられており、 セキュリティを保つための対策を、技術的な対策に限らず体系的に整理している。 しかし、普及はこれからというのが実態だ。
今後への期待
セキュリティの対策は現場の運用と密接に関係する。 セキュリティに対する独自の要求がある分野では、 ISMSについても独自の基準があるのが望ましい。 そういった取り組みはすでに始まっており、 例えば医療分野では医療機関向けISMSユーザーズガイドが作成されている。 ISOでも医療版ISMSの作成へ向けて動きが活発化しつつある。
ただし、このような分野独自の基準でもまだ不十分と感じている。 セキュリティベンダが自社製品に対して、 これらのガイドラインのどの技術的な対策に対応しているのかを明確にすべきである。 そして、その情報を元にユーザが必要となる製品を選択できるようになればよい。 そうなれば、不安も解消し、過剰なセキュリティ対策を行なうことも減るだろう。
必要十分なセキュリティ対策を実現し、 個人情報を活用しつつも、 利便性と安全性を両立した多様なサービスが提供されるようになることを期待したい。