bannertrendnews.gif


自治体の情報セキュリティ対策――「個人情報保護対策」編
法施行後も相次ぐ個人情報の流出



 個人情報保護法が完全施行されて3か月が経過したが、個人情報漏えい・紛失事故の報道が連日のように新聞紙面をにぎわしている。このうち、行政や公的機関が関わるものだけをみても、その件数は年々増加する傾向にあり、例えば昨年の事故件数が年間39件だったのに対し、今年は5月末時点ですでに70件に達した。
 事故件数が増えた要因には「事実を隠さず公表し、問題の極小化を図る」という危機管理意識が浸透し、これまで公にされていなかったものが表面化したこともあるようだ。とはいえ、事故原因が多様化しているのは事実で、こうした現状を踏まえ、政府はわが国の社会経済活動と国民生活を支える「重要インフラにおける情報セキュリティ対策」強化に乗り出した。その重要インフラのひとつが、地方公共団体だ。
 そこで個人情報保護の観点から市町村の情報セキュリティ対策を考えてみる。
怖いのは、個人のちょっとした不注意だ
 情報漏えい・紛失の原因としてすぐ思い浮かぶのは、内部の人間や委託業者などによるものだろう。ところが、最近ではパソコン等の盗難・窃盗や置き忘れ、車上荒らし、メールの誤配信、廃棄パソコンなど個人のちょっとした不注意から重要データが流失する事故が増えているのだ。中でも今年になって目立ってきたのが、ファイル交換ソフト「Winny」を通じて個人情報がインターネット上へ流出するケースだ。
 今年4月に約1万人の住民情報が流失した秋田県湯沢市では、事故後、即座に小中学校を含む全組織へ情報セキュリティポリシーの周知徹底を図ったほか、(1)すべてのシステムとネットワークに関する開発・設定変更、運用、更新といった管理体制を強化、(2)物理的対策として電算室の入退室管理と記録簿整備を義務づけ、(3)技術的対策としてアクセス記録の保存、障害記録の作成、機器改造・増設・交換の禁止――などの再発防止策を明らかにしている。


 そもそも行政の業務は、すべて“情報”で成り立っている。だからこそ保有する情報の適切な管理は欠かせないわけだが、いくら最新の対策を施しても運用する人間の意識が伴わなければ、そこが情報漏えいにつながる“穴”となる。最も大切なのは情報を扱う人間のセキュリティ意識を高めることだろう。情報セキュリティポリシーを画餅としないためには、その教育とともに物理的・技術的な対策を効果的に組み合わせることが有効といえる。
 そして何より重要なことは、セキュリティ委員会などを活用した確実な運用と継続的な改善を図ることである。ただ、その対策も一度決めたら終わりではない。
 例えば、昨今増えている「デジタル万引き」のように携帯電話やデジタルカメラでも情報を外部へ持ち出すことは可能だが、対策をとっているところは意外と少ない。あるいは、ソーシャル・エンジニアリングへの備えは大丈夫だろうか。これは振り込め詐欺に代表される“感情に訴えて相手を騙す”手口のことだが、職員の「住民の役に立ちたい」という気持ちにつけ込んで情報を聞き出すことは十分ありうる話だ。
 いまやリスクを想定しようにも従来の常識は通用しない。次々と顕在化するリスクへ柔軟に対応できるよう、常に対策を見直し改善する努力が大切なのである。


急がれる個人情報保護条例の見直し
 さて、こうした対策の基本となるのは、「個人情報保護法」と「個人情報保護条例」である。だが、個人情報保護法が定める個人情報保護の具体的内容(個人情報の収集・利用の目的特定、安全対策、第三者提供の禁止など)は、民間の個人情報取扱事業者に適用されるもので、地方公共団体は含まれていない。つまり、市町村における個人情報の取り扱いについては自治体ごとに個人情報保護条例で定めることになる。
 総務省の調査によれば、今年4月1日現在、個人情報保護条例を制定している市町村は2368団体(全体の97.9%)となっている。未策定の市町村でも、今年度中にはすべての団体が条例を策定する予定だというが、総務省では「電子自治体構築に向け、情報セキュリティ対策の徹底が不可欠」と、今後は条例の“質”の向上に注目する方針を明らかにしている。
 こうした現状を踏まえて、現行の条例を根本から見直す自治体も登場した。例えば、横浜市では、今年4月から市が取り扱う個人情報の不正利用に関する罰則強化などを盛り込んだ改正条例を施行している。また、東京都では、個人情報保護法の適用外である保有個人情報5000件以下の事業者やNPOなどについても情報の安全管理を義務づけるべく条例を改正した。同様に、住基ネットやLGWANの完全設置以降、条例の制定、オンライン禁止規定やマニュアル処理規定などの見直しが求められていることから、他の市町村においても「個人情報保護法」「行政機関個人情報保護法」などを踏まえ、個人情報保護条例の自己点検を急ぐ必要があるだろう。
 情報セキュリティ対策は費用対効果が見えづらいだけに、実際に問題が起こるまでなかなかその重要性は理解されないものだ。だが、個人情報の安全確保の措置は自治体の責務である。しかも、その範囲は庁内に止まらない。京都府宇治市の例では、裁判で直接の加害者ではない市も情報流失の責任が問われ1人当たり1万円の損害賠償が命じられたが、もし被害者が集団で訴訟を起こした場合、市町村へ莫大な損害賠償義務を課される可能性は高い。個人情報漏えいも含め、いまや情報セキュリティ対策は「経営課題」として組織全体で考えなければならない時代となったのだ。
 とはいえ、あまり過剰に反応すると逆に住民サービスの低下にもつながりかねない。肝心なのは、効果・費用・リスクを考え合わせ住民への「説明責任」を果たすことだろう。



バックナンバーへ戻るspacer新風トップへ