そもそも「管理すべき個人情報」との認識がなければ…
個人情報漏えい事故の原因については、新聞等で大きく報道されることもあり、外部からの不正アクセスやウイルス感染が多くを占めているという印象があります。しかし、実態は異なっています。個人情報漏えい事故の原因の大半はヒューマンエラーなのです。
日本情報経済社会推進協会(JIPDEC)の集計(2020年度「個人情報の取扱いにおける事故報告集計結果」参照)でも、メールなどの誤送付に起因するものが62%を占め、USBメモリなどの紛失が15%、事務処理や作業ミスが9%などとなっており、不正アクセスやウイルス感染によるものはわずか3%に過ぎません。
セキュリティ対策というと、セキュリティソフトの導入やシステム上のファイアウォール構築のようなことがイメージされがちです。しかし最も重要な対策は、ヒューマンエラーをいかに防ぐかということにあるのです。
人間である以上、絶対にミスをしないということはありません。それを前提に、いかに個人情報漏えいを防げばいいのでしょうか。まず重要なのは、何が個人情報なのか、それを扱うときにはどういう配慮がいるのか…という詳細な規定とそれに則った仕組みです。
ヒューマンエラーが起きる理由のひとつに、そもそもそれが「管理すべき個人情報」との認識がなかったケースがしばしばあるのです。
たとえば、個人のスマートフォンをタクシーに置き忘れて数時間後に取り戻した、という場合、個人情報漏えい事故を起こしたと考える人はいないかもしれません。しかし、その中の電話帳に得意先の人名と電話番号リストがあったら、それはもちろん個人情報です。数時間手元を離れていただけでも、問題がなかったかどうか検証すべき事案ですし、会社はそれを迅速に報告させる義務をルール化しておくべきです。
名刺ケースを紛失した、という事例においても、自身の名刺の束と同時に、交換した他社の名刺を入れっぱなしにしている方も多いと思います。その名刺に「出会った日」「出会った場所」、さらにはその人の特徴や話した内容なども手書きしている方もあるのではないでしょうか。
もちろんそれ自体が問題なのではなく、「入れっぱなしにしない」「紐づく情報は書かない」ことを、しっかりと会社が禁止事項として周知しているかどうかなのです。
また運用面では、ビルの入退館管理で訪問者の訪問時間や訪問先、会社名や個人名、連絡先を記入させる企業はまだ数多くありますが、記入欄がオープンになっていて、自分の前の訪問者の氏名等の内容が読めるものがあります。これは個人情報保護の観点では完全にアウトです。
どこまでが個人情報で、それをどう管理するかという社内的な統一基準をつくり、人は誰しも「うっかりミスる」ことを前提でマニュアルや運用規則を用意しておくことが、ヒューマンエラーを防ぐ第一歩です。
それだけで「大惨事のリスク」は格段に減らせるのです。
仲手川 啓
株式会社ユーピーエフ 代表取締役
【関連記事】
税務調査官「出身はどちらですか?」の真意…税務調査で“やり手の調査官”が聞いてくる「3つの質問」【税理士が解説】
恐ろしい…銀行が「100万円を定期預金しませんか」と言うワケ
親が「総額3,000万円」を子・孫の口座にこっそり貯金…家族も知らないのに「税務署」には“バレる”ワケ【税理士が解説】