第97回,第98回,第99回と,個人情報漏えい事件に遭遇した企業が開示した財務報告を題材に取り上げた。株主/投資家向けの有価証券報告書や決算短信を見ると,各企業の個人情報保護に対する姿勢やリスク認識の度合いが浮き彫りになる。
個人情報漏えい事案に関連する情報開示は,個人情報保護法上の二次被害の防止,再発防止対策にとどまらず,2009年3月決算期から上場企業に適用される金融商品取引法(日本版SOX法)上の「財務報告に係る内部統制」にも深く関わってくる。個人情報管理部門は,財務部門や広報部門との連携を日頃から進めておく必要がある。個人情報取扱業務を外部委託する場合は,委託先企業との認識を入念にすり合わせる必要もあるだろう。
さて今回は,個人情報保護の過剰反応問題を取り上げてみたい。
「官」主導で進む災害時要援護者名簿の過剰反応対策
2007年7月16日に発生した新潟県中越沖地震で脚光を浴びたキーワードに「災害時要援護者」がある。一人暮らしや寝たきりなどの高齢者,障害者,傷病者,妊産婦,乳幼児,児童,外国人など,必要な情報を迅速かつ的確に把握できない,災害から自らを守るために安全な場所に避難することが難しいなど,災害時において適切な防災活動をとることが特に困難な人々を指す。
2004年に発生した一連の風水害で,犠牲者の半数以上が高齢者であったことから,政府は災害時要援護者の避難支援などについて検討を進め,2005年3月に「災害時要援護者の避難支援ガイドライン」を取りまとめた。以来,防災基本計画に要援護者対策の必要性が明記され,避難所における支援などを中心にガイドラインの改訂が行われてきた。詳細については,内閣府の「災害時要援護者対策」に掲載されている。
自然災害が発生する度に,いわゆる個人情報保護法への過剰反応による要援護者名簿作成の遅れが指摘されてきた。それでも,以前に比べると過剰反応対策は進んでいる。例えば,内閣府が2007年4月19日に公表した「災害時要援護者対策の進め方について(報告書)」を見ると,個人情報を含む要援護者情報の収集・共有に相当のスペースが割かれており,取り組み事例も多く紹介されている。
「公」の視点に立った個人情報保護の見直しでIT利活用を
中越沖地震直後の新聞報道によると,2007年3月に要援護者名簿を作成した柏崎市では,7月18日時点で安否が確認できた割合が2割にとどまっていた。これに対し,2007年6月に要援護者名簿を作成した長岡市では,震災発生当日のうちに全員の安否を確認できたことが伝えられている。
2004年の7・13水害で9人の被害者を出したことのある三条市では,2007年6月24日に水害対応総合防災訓練を実施し,要援護者を避難所まで誘導する訓練を済ませていたという。被害の規模に差があるとはいえ,同じ被災地域でも,自治体によって,要擁護者名簿作成後の対策の実運用レベルで差が見受けられたのが,今回の地震の特徴であろう
自然災害が発生すると,地方自治体だけでなく,町会,自主防災組織,医療機関,介護福祉施設,交通・通信・電力・ガス・水道などの公共・公益事業者,地元の民間企業,NPO(非営利組織),地域ボランティアなど,「官」「民」の様々な組織・人から成る地域コミュニティが危機対応に従事するのが普通である。要援護者の個人情報を利用する立場になる組織・人に適用される個人情報保護法制・ガイドラインはまちまちであり,最終的に責任を負う運営主体は一体誰になるのか,どのレベルまで個人情報管理対策を講じるのかなど,実際の運用に直面して初めて見えてくる問題も多い。PDCAサイクルによる継続的改善が必要不可欠になってくる。
今や,要援護者名簿作成のためには単純な過剰反応対策だけでなく,名簿作成後の災害対策の実運用サイクル改善まで包含した,情報ライフサイクル管理ベースの過剰反応対策にステップアップする時期を迎えている。「官」「民」の枠を越えた「公」の視点から,個人情報保護のあり方を見直す必要があるのではなかろうか。「公」の視点に立った共通の個人情報保護ポリシーがあれば,ハコモノではなく地域の共通基盤としてITのメリットを生かせる場面が増えるはずだ。
次回も,引き続き過剰反応問題について考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
