...

個人情報保護法に関する企業の 対策状況分析レポート

by user

on
Category: Documents
13

views

Report

Comments

Transcript

個人情報保護法に関する企業の 対策状況分析レポート
個人情報保護法に関する企業の
対策状況分析レポート
― 個人情報漏えい防止策はどこまで進んでいるか ―
目次
はじめに
2
1.サマリー
3
2.調査方法/評価項目
4
調査の概要
4
回答企業プロファイル
4
配点の方法
4
評価項目
4
3.調査結果
3-1.進捗状況
6
(1)重要項目の達成度
6
(2)進捗度分析
6
(3)主要課題
8
3- 2.進捗度上位企業の対策内容と漏えい経験企業の傾向分析
6
9
(1)組織規則
10
(2)現状把握
11
(3)社員教育
11
(4)委託先管理
12
(5)IT対応
13
(6)物理的対応
13
(7)危機管理
15
(8)チェック機能
16
参考資料:(1)個人情報保護対策アプローチとCRM基盤構築
17
参考資料:(2)組織面におけるソリューション
19
最後に
21
はじめに
企業からの個人情報漏えい事件が後を絶たない。
しかし、個人情報が何らかの形で漏えいすることは、特に最近に限ったことではない。車上荒らしによ
る顧客台帳の盗難などは、それほど珍しいことではなかったはずである。但し、一昔前の個人情報漏えい
と異なる点が幾つかある。インターネットの普及により Web サーバーを通じた漏えいなど流出経路が増
えたこと、データベースやハードディスクなどの技術進化により一度に流出する件数が増加していること、
流出した個人情報を悪用するためのインフラ/環境も整ってきたこと、などである。
過失だけではなく故意による流出事例も多く存在していることも見逃せない。コンプライアンスという
言葉が登場して久しいが、企業の内側からの事件発生を封じ込めるためには相当の対策が必要となる。個
人情報保護対策について外部からの侵入に対処するだけでは不十分ということは明白である。
漏えい事件が企業経営に与える影響は大きい。ブランドと社会的信用の失墜、営業自粛による機会損失
や被害者への対応など、収益に大きく影響しかねない。
しかし、その危機感は企業によりかなり異なるようである。
経営者にとって、個人情報保護対策は、長期的にみればリスク回避策として企業経営にプラスに影響す
ることは理解できても、短期的にみれば対策を講じるための負荷は大きいと感じているに違いない。個人
情報取扱事業者全体からすれば、積極的に取り組もうとする企業はまだ少ないように思える。また、一部
の先進的な企業でさえ、どの程度の対策なら十分なのか判断が難しい状況にあるだろう。各省庁のガイド
ラインが合格基準を明記しているわけではないし、漏えいの手口はさらに複雑化・巧妙化しているからで
ある。
様々な技術が日々進化し、企業環境も刻々と変化するなかで、完璧な対策手法を求めることは出来ない。
しかし、本レポートが、現在企業がどの程度の対策を実施しているか、対策のポイントや課題は何かなど
を少しでも明らかにすることで、今後個人情報保護法対策を推進する企業の一助になれば幸いである。
なお、本レポートを作成するにあたり、多くの企業のご協力を頂いたことを、この場を借りて改めて感
謝申し上げたい。
1.サマリー
企業規模に関わらず個人情報取扱事業者と自認してい
その一方で、規約作成・現状把握・社員教育・危機管
る企業を対象に、その対策進捗状況を調査した結果、そ
理・外部企業管理など多方面の対策を講じて総じて高い
の進捗は極めて遅いことが判明した。まず、社内の組織
評価結果を得た企業も存在する。さらに、これらの先進
体制として、なんらかの形で対応部署を設置している企
的企業の中でも、漏えい経験のある企業と未経験企業で
業は7割弱。次に、社内規程の作成済み企業は約5割で
注力している分野に幾つかの相違点があることが判明し
4割が作成中。社員教育に至っては、まだ半数の企業が
た。最も大きな相違点は、漏えい経験企業は、現状把握
未対応。最も初期に対処すべきこの三点(組織、規則、
対応と物理的対策への注力度が高いことである。その反
教育)を実施済みの企業は、約三分の一に過ぎない。
面、社員教育のポイントは、未経験の先進企業と比較し
どのような企業の進捗度が高いか。企業規模に関して
はその規模に関わらず進捗度の高い企業と低い企業が存
在している。一方で、業界による進捗度の違いは明らか
となった。いわゆる情報サービス業は、他社の個人情報
を預かりシステム運用を任される場合も多いため、今回
い経験企業では、社員教育に関して一定水準の教育で目
処をつけており、より確実な防衛策として有効と思われ
る物理的防止策などに注力していると推察できる。
万能の解決策はないが、少なくとも個人データ管理の
調査対象とした業種の中では最も高いポイントを得た。
あり方を見直す必要があるだろう。顧客データの入手か
次に、金融業を見てみると、一部の企業では非常に進ん
ら利用・破棄に至るまでのデータライフサイクルと、本
だ対策を講じているものの全体平均ではそれほど高くな
社や支店などの位置を問わず一元的なデータ管理のあり
い。特に中小の金融機関/金融商品の代理店で対策の遅
方が有効な手段の一つであろう。なお、企業が対策を検
れが目立つ。また、小売業と不動産業については、ほぼ
討する過程では、様々な打ち手が論じられるであろうが、
全ての評価項目で点数が低く、他業界と比較しても対策
それらの必要性と推進期間などを考慮し、優先順位を明
の遅れが顕著に現れた。
確にした上で着手することが肝要である。
各種対策を講じるなかでの課題については、最もノウ
ハウが不足している分野は、危機管理(実際に事件が発
生した際の対策準備など)であることが分かった。また
社員教育や現状把握、組織・規程作成面では時間を要す
ることが最重要課題となっており、IT面での対応、物
理的な対応、チェック機能構築では直接経費の発生が問
題となっている。
た場合、ある一定レベルに留まっている。つまり、漏え
2.調査方法/評価項目
調査の概要
配点の方法
上場企業ならびに、4月の個人情報保護法の施行によ
評価軸として、8つの評価項目(後述)に分類。配点
り個人情報取扱事業者となる企業の個人情報取扱担当部
は一律ではなく、各項目の注力度や効果向上につながる
門を対象に、2005年1月にアンケート調査を実施。
と思われる行動については、ポイントを高く配点してい
製造業、小売業、金融業、不動産業、情報サービス業な
る。最高点は設けず、各項目の偏差により再配点している。
ど合計121社より有効回答を得た。(121社は、いず
れも自社が個人情報取扱事業者であることを認識してい
る企業である。)これら企業を対象に、企業漏えい対策を
中心としてどの程度の対策を講じているか、主な課題が
何かについて調査した。
評価項目
本調査では、企業の進捗状況を分析するにあたり次に
挙げる8つの評価項目を設置した。
(本調査では、個人情報保護法の中でも、特に重要課題と
回答企業プロファイル
思われる漏えい防止対策に関連する項目を中心に評価軸を
設定した。よって、個人情報保護法で要求されている項目
図1.業種別構成比
運輸・通信・
エネルギー・その他
11%
人材サービス
7%
を全て網羅しているわけではないことをご理解頂きたい。
)
(1)組織規則
情報サービス
25%
不動産
7%
個人情報取扱の担当者・部署や、社内規程などの設
置状況を評価
保護法ならびにガイドラインでは、社内担当者、個人
製造
12%
小売
21%
金融
17%
10∼100億円
40%
を要求している。評価項目は次のとおり。1) 責任者・部
署の設置状況、2) 社内規程の作成状況、3) 管理対象範囲(組
図2.年間単体売上高別の構成比
10億円以下
12%
からの問い合わせ窓口などの配置、社内規程の設置など
1,000億円以上
16%
100∼1,000億円
32%
織)、4) 管理対象範囲(媒体)、5) 廃棄ルール(電子媒体、
紙媒体)
(2)現状把握
社内に個人情報がどこにどれだけ存在しているかの
状況把握力を評価
保護法ならびにガイドラインでは、適切な管理などと
記載されている。その具体的な方法については記載され
ていないが、少なくとも、どの部署がどのような管理プ
ロセスの中でどんな形(媒体)で個人情報を取り扱って
いるかを把握することが、その適切な管理には重要であ
るため評価項目の一つとしている。具体的には、次のサ
ブ項目で評価している。
1) どのような個人情報がどこにあるかの把握状況(電子
媒体、紙媒体)、2) 誰がアクセス可能かの把握状況(人数、
どのように)、3) 個人PC内部の個人情報の把握状況、4)
最新の個人情報の更新・把握状況、5) 社外提供・貸与の
把握状況
(3)社員教育
社員への教育実施状況を評価
企業内の個人情報は、多くの社員(派遣社員などの関
連スタッフ含む)の手に触れる機会がある。また、社員
の過失・故意による漏えい事故も後を絶たない。ここでは、
1) 実施の有無、2) 頻度、3) 対象者、4) 成果の把握方法な
どを評価する。
(4)委託先管理
コールセンターやデータセンターなど外部委託先の
管理状況を評価
多くの企業が、個人情報を取り扱う業務の中で、外部
紙媒体の管理や、盗難防止など、物理的盗難対策の
状況を評価
過去の漏えい事件の中には、PCの盗難や、紙媒体に
よる漏えいなど、いわゆる物理的盗難が多い。ここでは、
紙媒体への対策、外部侵入への備え、PC盗難対策など
を確認する。
(7)危機管理
漏えいなどの事故発生時における対応準備状況を評価
実際に漏えい事件を起こしている企業でも、原因不明
である場合や、社外対応(顧客対応、メディア対応など)
委託先企業(コールセンターやデータセンターなど)を
に手間取る場合がある。ここでは、危機発生時のマニュ
活用しており、その管理なくしては漏えい対策や保護法
アル化や、ログ保管状況などを評価する。
順守は出来ない。ここでは、外部委託先企業の選定基準、
管理頻度、契約内容などを評価する。
(5)IT対応
(8)チェック機能
社外社内監査や認定取得など、対策状況をチェック
する仕組みを評価
社内で構築した様々な対策(組織、ルール、教育、シ
監視ソフトや暗号化ソフトなど、システム的な対策
状況を評価
ステム導入など)の内容が、適切か否か、社内で機能し
先進的な監視ソフトや、暗号ソフト、制御ソフトがI
ているか否か、などを別の立場でチェックする機能も必
Tベンダーによって開発されているが、どの程度導入さ
要である。ここでは、社内監査、外部監査、プライバシー
れているのか。1) ユーザー認証の方法、2) PC内部の情
マークなどの認証取得について確認する。
報保護方法、3) 複製防止対策、4) 外部記憶装置対策、5) メー
ル対策、6) DB一元管理状況、などを評価する。
(6)物理的対応
3.調査結果
3-1.進捗状況
3項目全てに対応済み企業は僅かに34%。
(※責任部署は、なんらかの形で存在していれば可とした。
)
(1)重要項目の達成度
企業は様々な手法で個人情報保護法に対処しようとし
ており、また業界ごとにガイドラインが存在するため、
一つの尺度でその進捗度を測ることは困難である。よっ
て、ここでは、各省庁のガイドライン作成の元ともなっ
企業規模により意識の違いはあるものの、個人情報保護
法により、その取扱事業者となることを自認している企業
全体の34%しか、対応が済んでいないことが判明した。
(2)進捗度分析
た政府の個人情報保護に関する基本方針の中で重要項目
として挙げられている三点、①個人情報保護方針に関す
る宣言の策定や公表、②事業者内部の責任体制の確保、
③従業員の教育研修、の対処状況を確認した。
前述の8つの評価軸の合計点を利用して、進捗度スコ
ア帯ごとの企業数分布を作成してみると、中心より進捗
度の低いほうにやや片寄った分布となっている。すなわ
ち、対策面で進捗度合いの高い企業は存在するものの、
①社内規定の作成状況
全体的にその進捗は遅いことが分かる。
作成済み企業は約5割。まだ4割が作成中。
図6.進捗度スコア帯別企業分布図
(作成済み:48%、作成中:38%、なし:13%)
(社)
35
図3.社内規程の作成状況
なし
13%
30
無回答
1%
25
20
15
作成済み
48%
10
作成中
38%
5
0
②責任者ならびに対策部署の設置状況
34-38 38-42 42-46 46-50 50-54 54-58 58-62 62-66 66-70
偏差値
担当役員を任命しているのは37%。部署の設置は、
専門部署が17%、既存部署に追加が34%。検討中が
依然として32%。(複数回答)
てみる。まず、企業規模で分類してみると(図7)、ほぼ
図4.責任者ならびに対策部署の設置状況
0%
10%
20%
30%
40%
一様なばらつきになっており、企業規模に関わらず、進
50%
37%
担当役員を任命
んでいる企業と遅れている企業が存在することが分かる。
17%
専門部署を設置
(社)
18%
シス テム 部門が兼任
35
34%
既存部署に追加
体制を検討中
無回答
では、進捗度合いの遅い企業はどのような企業か調べ
32%
3%
1,000億以上
100∼1,000億
10∼100億
10億以下
30
25
20
③社員教育の実施状況
実施済み企業は4割強。5割が今後対応。
(実施済み:42%、今後実施:49%、なし:8%)
図5.社員教育の実施状況
予定なし 無回答
1%
8%
15
10
5
0
34-38 38-42 42-46 46-50 50-54 54-58 58-62 62-66 66-70
偏差値
実施済み
42%
図7.企業規模(単体売上)別進捗度
今後実施
49%
次に、業界別に進捗度の比較を試みることにする。業
では、進捗度の高い企業はどのような対策分野に注力
界の平均偏差値でランキングすると、以下の表のように
しているのか、また進捗度の低い企業はどのような対策
なり、情報サービス産業が他業界より進んでいることが
分野を改善すれば全体として向上するのか、前述の8つ
分かる。
の評価軸を利用して分析してみる。
表1.業界の進捗度
順 位
図9.業界別注力度分布図
業界の偏差値
組織規則
60
1.情報サービス業
55.7
2.金融業
50.0
3.製造業
48.9
50
4.小売業
46.1
45
5.不動産業
44.7
チェック機能
55
危機管理
40
現状把握
社員教育
(サンプル数の少ない業界(エネルギー、運輸、通信)を除く)
また、業界ごとに進捗度スコア帯のグラフで表すと図
8のようになる。(業種別比較では各サンプル数が減るの
物理的対応
委託先管理
で度数分布図の区間幅を 10 として 100% 積上げ棒グラフ
IT 対応
表示を採択した。) 図をみると、前述のとおり進捗度が
高い業種は情報サービス産業であることが分かる。金融
業と小売業では、偏差値60以上の進捗度の高い企業が
いる一方で、同50未満の企業も多いため、業界全体と
しては低調である。不動産業では、同50以上の企業が
100%
金融
情報サービス
(サンプル数の少ない業界(エネルギー、運輸、通信)を除く)
情報サービス業界では、プライバシーマークやISM
他業界と比べて浸透しているため、特にチェック機能の
図8.業界の進捗度
不動産
金融
不動産
Sなどの認証取得ならびに情報セキュリティ監査などが
少なく進捗度の低い企業の多いことがわかる。
情報サービス
製造
小売
小売
製造
90%
面で高い評価となったが、その点を差し引いても、他7
項目全般に高い対策水準にあることがわかる。また、情
報サービス業では、業務の再委託なども実施されること
80%
が多いため外部委託先の管理や社員教育に注力している
70%
ことも特徴といえる。
60%
50%
金融業界では、外部委託先企業の管理ポイントが低い。
40%
また、チェック機能のポイントもやや低くなっているが
30%
20%
その主な理由は、評価にプライバシーマークやISMS
10%
の認証取得を評価対象に入れているためである。金融業
0%
30-40
40-50
50-60
60-70
偏差値
(サンプル数の少ない業界(エネルギー、運輸、通信)を除く)
界としては認証を取得する傾向にないため評価ポイント
がやや低くなることはやむを得ないとしても、他7つの
評価項目についても平均水準であることは注視すべき点
であろう。言うまでもなく、金融業は他業界と比べて、
その取り扱っている個人情報の内容の重要度が高いだけ
に、漏えい防止を始めとする個人情報保護にさらに注力
する必要があるだろう。
製造業では、外部委託先企業の管理はやや進んでいる
(3)主要課題
ものの、現状把握やチェック機能が遅れている。小売業、
不動産業は、ほぼ全ての評価項目で低い結果となってい
る。特に、小売業では社員教育の分野に遅れが見られる。
小売業では、会員カードの発行や商品購入の際のクレジッ
ト情報などの個人情報を取り扱っている。金融業と比較
すれば、そこに含まれる個人情報内容は限定されるとは
言え、個人情報取扱事業者であることに変わりはないわ
けであるから、業界全般的に対策を講じて企業内部にも
その意識付けを行い改善していく必要があるだろう。そ
なぜ対策が進まないのか。各評価項目を推進するにあた
り不足している要素/課題を図10で表した。
その結果、組織規則作成、現状把握、社員教育では、
時間不足を挙げる企業が6割から7割、IT対応、物理
的対応、チェック機能の分野では、直接経費の捻出を課
題として挙げる企業が7割から8割。また、危機管理、
委託先管理、組織・規程作成面では、ノウハウ不足であ
ることも目立つ傾向にある。
れは、不動産業についても言えることである。同業界の
組織規則分野の進捗度は今回比較した業界の中で最も低
い結果となった。まずは担当部門/担当者を明確にする
体制づくりから始めるべきだろう。
図10.推進を阻む不足要素(複数回答)
0
10
20
30
40
50
60
組織規程
70
80
90 (%)
60%
75%
現状把握
社員教育
71%
51%
委託先管理
85%
IT対応
78%
物理的対応
69%
危機管理
70%
チェック機能
人件費
直接経費
ノウハウ
時間
その 他
3 ー 2.進捗度上位企業の対策内容と漏えい経
験企業の傾向分析
きな相違点は、漏えい経験企業は、現状把握対応と物理
的対策への注力度が高いことである。その反面、社員教
前節では、業種による進捗度の違いや主な課題につい
て言及した。本節では、進捗度の高い企業が具体的にど
のような対策を講じているのか、また、漏えい経験企業
の対策状況から得られるノウハウがあるとすればどのよ
うな点か、について触れてみたい。
まず、過去に個人情報の漏えい事件を起こしている企
業は、その漏えい理由による違いはあるものの、再発を
防止するために広範囲にわたり対策を講じていると思わ
育のポイントがある一定レベルで留まっている。漏えい
経験企業では、ある程度の社員教育を終えて、物理的防
止策に注力していることが伺える。社員教育による漏え
い防止の限界を示唆しているとも取れる。
以降では、8つの評価軸についてより詳細な分析を試
みる。その際、次の視点を用いる。
進捗度上位企業の状況
進捗度の高い企業(進捗度上位企業)と進捗度の低い
れる。前述の進捗度スコア帯ごとの企業数分布の中で、
企業(進捗度中位下位企業)の対策状況の違いについて
漏えい経験企業はどの部分に位置しているかを表示した
分析する。
のが、図11である。一部の企業では、進捗度合いが平
均値(偏差値50)を下回るものの、総じて高い進捗度
※分 析対象とする進捗度上位企業は、偏差値55以上の企業と
した。但し、質問内容により無回答の企業もあるため、各質
問のサンプル総数は異なる場合がある。
と言える。
では、漏えい経験のある企業の対策傾向に特徴がある
漏えい経験企業の傾向
とすれば、それはどのようなものか。偏差値の高い図
また、漏えい経験企業の対策内容に特色があれば言及
11の楕円の中の企業から、漏えい経験企業と未経験先
していく。その際は、“漏えい経験企業”と、“未経験先
進企業(漏えい経験のない進捗度の高い企業)とを8つ
進企業”を比較する。
の評価軸を利用してレーダーチャート上で比較すると図
12のようになる。(なお、極力公平な比較となるように、
比較対象の未経験先進企業は、漏えい経験企業と同業種・
同規模・同レベルの企業を抽出した。よって、偏差値は
どちらも約60である。)
※“漏えい経験企業”のうち偏差値50未満の企業は外れ値と
した。
※“未経験先進企業”は、極力公平な比較となるように、漏え
い経験企業と同業種・同規模・同レベルの企業を抽出した。
よって、偏差値はどちらも約60である。
※ 再発防止努力にも関わらず、漏えい事件を再発する企業も存
レーダーチャート上の8つの評価軸に、漏えい経験
の有る企業と無い企業の評価結果を図示すると、最も大
在するが故に、漏えい経験企業の対策を必ずしも是とするわ
けではないことを申し上げる。
図12.注力度分布図/漏えい経験企業と未経験先進企業の比較
図11.漏えい経験企業の分布
(社)
35
漏えい経験あり
なし
チェック機能
30
25
危機管理
20
組織規則
65
60
55
50
45
40
現状把握
社員教育
15
10
物理的対応
5
0
IT対応
34-38 38-42 42-46 46-50 50-54 54-58 58-62 62-66 66-70
偏差値
委託先管理
漏えい経験企業
未経験先進企業
一方、システム部門や総務部などの既存部門が個人情
(1)組織規則
報保護対策を兼任している場合は、他の評価項目全般に
進捗度上位企業の状況
図13.責任者ならびに対策部署の設置状況(複数回答)
0%
20%
40%
100%
81%
4%
専門部署を設置
53%
31%
既存部署に追加
漏えい経験企業の傾向
図15.個人情報データの廃棄ルール設定状況
(電子媒体と紙媒体)
20%
60%
電子
媒体
80%
100%
69%
84%
4%
0%
進捗度中位下位企業
40%
36%
41%
44%
0%
比較して、十分な効果が得られていないことが分かる。
0%
18%
19%
シス テム 部門が兼任
無回答
80%
21%
担当役員を任命
体制を検討中
60%
ポイントが低くなっており、専門部署を設置した場合と
進捗度上位企業
49%
紙媒体
85%
91%
担当部門の設置に関して大別して次の4つを選択肢と
した。1.担当役員の任命、2.情報システム部門担当
全回答企業
未経験先進企業
漏えい経験企業
者が兼任、3.専門部署の設置、4.既存部署に追加。
この中で、進捗度上位企業の特徴は、担当役員の任命ま
漏えい経験企業が、組織体制と社内ルール作成で十分
たは専門部署を設置していることであり、役員を配置し
に対策を講じている点は当然であるが、廃棄方法につい
ている企業割合は8割を超えている。
てもルール化を終えている企業が多い。(保護法ならびに
また、担当部門の設置方法の違いが他の評価項目に与
える影響を推測するために、全回答企業を対象に、各々
の有無と他評価項目の結果の関係を調べてみると、専門
部署を設置している企業は、他評価項目全般でも進捗度
合が高いことが分かった。専門部署の設置が、他の評価
各省庁のガイドラインでは、個人データの消去・破棄に
ついてルール化を要求している。)但し、全回答企業の傾
向としては、破棄ルールまで定めている企業は約半数に
留まっている。(電子媒体の破棄ルールあり:36%、紙
媒体の破棄ルールあり:49%)
項目へ与える影響は大きく、最も重要な牽引力の一つに
なっていることが分かる。
図14.担当部門が他の評価項目に与える影響(全回答企業)
現状把握
チェック機能
65
60
55
50
45
40
社員教育
危機管理
委託先管理
物理的対応
担当役員を任命
専門部署を設置
IT対応
シ ス テ ム 部門が兼任
既存部署に追加
10
状態に保つ努力義務を課しているおり、漏えい経験企業
(2)現状把握
実務的な個人情報保護法対策として、初期に行われる
作業の一つに社内の個人情報の棚卸がある。即ち、社内
は、個人情報の棚卸が終了し、データ内容の更新対策
フェーズへと移行していると考えられる。
(支店や営業所が有る場合はそれらを含める)のどこの部
図17は、データベース内部の個人情報とPC内部の
署に、どのような内容(含まれる情報内容により重要度
個人情報の更新の方法に関する質問である。未経験先進
が異なる)の個人情報が、何件存在し、それらを誰が閲
企業(外円)では44%の企業がDB内容とPC内容の
覧または加工できる環境にあるのか、などのことを把握
同期がとれていない状況にある。
することである。
図17.DBとPC内部の個人情報の更新
進捗度上位企業の状況
(内円:漏えい経験企業、外円:未経験先進企業)
電子媒体の個人情報については、進捗度上位企業のう
ち91%が社内で保有している件数と保管場所を正確に
把握している。但し、紙媒体の個人情報については、社
内での保管場所と件数を正確に把握している企業は、上
位企業でも75%に留まっている。中位下位企業ではさ
DB内容が古く
なる
7%
不明・無回答
13%
PC内容が古く
なる
28%
DBのみに保存
56%
同期シ ス テ ム あり
13%
DBのみに保存
20%
3%
らにその数字は低く、社内の各部署に散在する個人情報
の把握が容易ではないことを示している。(全体では電子
PC内容が古く
なる
37%
媒体が 59%、紙媒体が 43%)
同期シ ス テ ム あり
23%
図16.個人情報の件数と保管場所の把握状況
0%
20%
40%
60%
80%
100%
(3)社員教育
59%
電子媒体
91%
47%
4割強が実施済みで約5割が今後実施予定と回答してお
り、全体的には非常に低い状況にある。以下では、社員
43%
紙媒体
75%
31%
全回答企業
進捗度上位企業
社員教育の実施状況については、既に述べたように、
進捗度中位下位企業
教育を実施している企業に絞り統計を取っている。
図18.社員教育時の対象者・組織(複数回答)
0%
データベースへのアクセス可能従業員数については、
40%
60%
80%
100%
正社員
進捗度上位企業の84%が把握しているが、中位下位企
100%
100%
契約社員
業では60%しか把握できていない。なお、上位企業の
100%
100%
派遣社員
94%は、業務上必要な担当者のみにアクセス権限を与
えている。
漏えい経験企業の傾向
前述したように、現状把握の分野では、漏えい経験企
業と同レベルの未経験先進企業では、前者のほうが評価
結果が高い。具体的に差が発生したサブ評価項目は、最
新情報の更新・把握であった。個人情報保護法では、漏
えい防止のみならず、保有するデータ内容を常に最新の
11
20%
58 %
42 %
アルバイト
グループ会社
外注先社員
36%
8%
86%
64%
42%
57%
提携会社 0%
7%
・代理店
漏えい経験企業
未経験先進企業
社員教育の対象者は、全社員/契約社員、派遣社員、
まず、委託先企業の選定基準については、進捗度上位
アルバイトの順番となっており妥当な結果と言える。ま
企業の98%が既に選定基準を作成しているが、中位下
た、契約社員を正社員と同様に扱っていることが分かる。
位企業では、作成中を含めても約6割に留まっている。
ここで、漏えい経験企業の傾向が二つ読み取れる。
まず、図18からも分かるように、漏えい未経験先進
企業の半数以上が外注先社員も対象に教育を実施してい
るのに対して、漏えい経験企業では外注先社員を重視し
ていない。
また、実際の契約書に含まれる契約事項を図20で表し
た。契約内容に盛り込むことが望ましい事項については、
各ガイドラインで記されており、ここではその中でも重
要と思われる事項について契約内容に既に含まれている
かどうかを調査した。この図からわかるように、中位下
位企業に必要な対策は、早急に契約書の内容を見直し、
次に、その結果の把握方法についても、未経験先進企
業の多くは理解度テストや再教育などを実施しているが、
漏えい経験企業は教育効果を把握するまでであり再教育
などは行っていない。
自社業務に必要な契約事項(再委託や契約終了時の取扱
など)を追記することだろう。
図20.委託先企業との契約に含まれる事項(複数回答)
0%
漏えい経験企業と未経験先進企業と比較した時、漏え
い経験企業は必ずしも社員教育に完璧さを求めているわ
再委託の処置
けではない、ということが推察できる。過去の漏えい事
責任の明確化
原因である場合には、社員教育によりある程度の改善が
契約終了時
の取扱
取扱状況の
監査
期待できる。しかし、故意の内部犯行については、社員
契約は結ん
でいない
件の原因は様々である。パソコンの盗難や社員の過失が
教育によって漏えいリスクがどの程度軽減できるか疑わ
20%
40%
60%
80%
機密保 持・
安全管理
100%
100%
65%
100%
35%
91%
22%
97%
28%
72%
18%
8%
不明
上位企業
中位下位企業
21%
しい。そう考えるならば、社員教育を一定レベルで終え、
リソースをもっと牽制機能の高い監視カメラなどの対策
にシフトする考え方があっても不思議ではない。
● 業務委託時に認定取得企業は優先されるのか ●
委託先の選定基準の中で、プライバシーマークやISM
(4)委託先管理
Sなどの認証を取得している企業を優先するかどうか、と
過去の漏えい事件の事例を見ると、システム運用会社
や販売代理店などのアウトソーシング先企業/業務委託
先企業から漏えいしているケースも少なくない。これら
いう質問に対しては、進捗度上位の企業は約6割が優先す
ると回答し、今後優先するという回答も含めると約9割と
なった。一方で、進捗度中位下位企業ではその傾向は少な
いものの、今後優先すると回答した企業を含めると約半数
に対処すべく、個人情報保護法では委託先の監督責任を
が優先すると回答した。一般的な傾向として、認定取得企
課している。
業が優先される傾向にあることが分かる。(なお、認証取得
企業を優先することが必ずしも是という判断が出来ないの
進捗度上位企業の状況
で、本質問は点数評価には加えていない。)
図19.委託先企業選定基準の有無
0%
20%
40%
上位企業
中位下位
企業
60%
図21.業務委託時に認定取得企業を優先するか
80%
97%
11%
基準あり
3%
49%
基準作成中
100%
31%
基準なし
不明
8%
0%
20%
上位企業
中位下位企業
優先する
40%
60%
80%
59%
26%
今後優先する
100%
28%
24%
35%
どちらとも言えない
9% 3%
4% 11%
優先しない
無回答
12
第一に、ユーザー認証については、一部企業で先進的
(5)IT対応
技術(指紋認証やバイオメトリクス認証など)を利用す
進捗度上位企業の状況
る傾向もあるが、漏えい経験企業ではパスワード/ID
図22.PC内部の個人情報保護方法(複数回答)
0
10
20
30
40
50
60
70
(%)
の利用が中心である。
80
34
個人情報
の暗号化
その一方で、外部記憶装置対策、電子メール対策など
が進んでいる傾向にある。外部記憶装置には、コピー制
9
御をかけている場合が多い。また、電子メール対策では、
72
パスワードの
定期的変更
51
底していることが分かる。過去の漏えい事件でも、故意・
13
その他
ウィルス・スパムメール対策と同様に、監視や記録を徹
上位企業
中位下位企業
9
過失を問わず、電子メールによる漏えい事例も多いこと
から、電子メールの送受信の監視・記録や、送信に制限
をかけることを、現実的な漏えい対策としていると考え
個人情報保護法の施行を機に、漏えい防止ソフトウェ
てよいだろう。
アが多数登場している。暗号化ソフトの導入率は、進捗
図24.電子メール対策(複数回答)
度上位企業で3割、中位下位企業では1割以下である。
0
パスワードの定期的な変更で対応している企業も多いが
より確実な暗号化などを導入することが望ましいだろう。
また、個人情報を含むファイルの複製・印刷・メール添
付をシステム的に制御するソフトの導入を進める企業は
まだ一部に過ぎなかったが、ソフトの利便性向上や価格
40
60
100
93
監視・記録
送信制限
(%)
80
ウィルス対策
下落など、今後の状況により利用拡大されることもある
だろう。
20
64
44
7
メ ール暗号化
92
20
43
漏えい経験企業
未経験先進企業
漏えい経験企業の傾向
漏えい経験企業と未経験の先進企業では、両者とも十
(6)物理的対応
分に対応を実施しており、IT面での総合評価はほぼ同
今一度、近年発生している個人情報の漏えい事件につ
じであったが、個別に対策内容を見てみると幾つかの特
いて振り返ってみたい。漏えいの媒体と方法について統
徴が見受けられた。
計をとってみると、以下の傾向が明らかとなっている。
図23.ユーザー認証方法(複数回答)
0
20
40
60
80
0
その他
0
23
《漏えい媒体の傾向(紙媒体と電子媒体)》
まず媒体については、紙媒体による漏えい事例が少な
られた漏えい事件を集計すると、3割強が紙媒体の漏え
31
いであった。)ここで言う紙媒体による漏えいとは、顧客
8
8
漏えい事件の媒体と方法
くない。(2004年 1 月から2005年1月までに報じ
31
8
ICカード
バイオメトリクス
100
100
100
パスワード/ID
指紋認証
(%)
漏えい経験企業
未経験先進企業
の申込書やその控えなどの紙媒体が、台帳などの形とし
て漏えいしている場合を指している。また、電子媒体に
よる漏えいとは、顧客DBやインターネットサーバーな
どの内部の個人情報が、外部または悪意を持った人に伝
13
100
達した際の媒体を指しており、個人情報が電子ファイル
るが、紙媒体を対象としている企業は73%に留まって
として保存されたパソコンやCDなど外部記憶装置の盗
おり、ここでも紙媒体への対応が遅れ気味であることが
難、ウェブサーバー内部のDB閲覧や外部からの不正ア
分かる。さらに、注力度に関する質問では、両方(電子・
クセスなどが代表的な例である。
紙)と回答した企業は、4割。残り4割は、紙媒体より
電子媒体に重点を置いている。
図25.漏えいの方法・手段
(2004 年 1 月から 2005 年 1 月までに発生した漏えい事件のうち、
漏えい件数 1,000 件以上の事例を集計)
漏えい経験企業と未経験先進企業では、紙媒体と物理
的対策の注力度に違いがあることが分かった。(漏えい経
原因不明
11%
験企業では、その漏えい原因により注力する対策分野に
不正アクセス
4%
過失
(不注意の
メール送信など)
11%
漏えい経験企業の傾向
盗難(パソコンの
盗難など )
40%
違いがあることが予想されるが、今回のサンプル企業の
漏えい原因に特定の偏りはないことを確認している。)
図26.紙媒体の個人情報に対する対策内容(複数回答)
故意(社員の持
ち出しなど)
13%
0
紛失(CD やFD
の紛失)
21%
《漏えい手段の傾向(電子的と物理的)》
20
ペーパーレス化
やパソコンの盗難などが目立っている。つまり、システ
警備員配置
ム的なセキュリティホール(欠点)を探してハッキング
ICタグ利用
0
0
その他
0
(ここでは、パソコン盗難予防や台帳類の紛失防止などを
総称して物理的対応としている。)
過去の事例を参照し漏えい対策を立てるならば、紙媒
体への対応と物理的対応は不可欠であると言える。
今回のアンケート調査結果によると、回答企業全社の
傾向は、上記で述べたような過去の漏えい事件の傾向と
は反して、紙媒体への対策が進んでいないことが明らか
となった。
100
(%)
46
0
0
キャビネ施錠
けではない。言い換えれば、電子媒体の物理的盗難である。
80
62
21
次に、漏えいの方法・手段について見てみると、台帳
するような高度な電子的手段によって漏えいしているわ
60
14
印刷制限
コピー機対策
40
93
0
100
7
7
漏えい経験企業
未経験先進企業
漏えい経験企業は、紙媒体への基本的な対応として、保
管場所キャビネの施錠は必須であるが、次にペーパーレス
化や、新たな紙媒体を増やさない対策(印刷制限など)に
進んでいる。また、PC盗難に対する対策としては、暗号
化による対策が主流であるが、PCに個人情報を保存しな
い仕組みの導入についても取り組んでいることが分かる。
過去事例の分析と漏えい経験企業の傾向を通じても分
かるように、個人情報取扱事業者は、紙媒体への対応と
物理的対策にもっと留意すべきであり、ペーパーレス化
などの業務プロセスの変更を含めた具体的な対策方法を
講じる必要があるだろう。
まず、社内に存在する個人情報の把握状況についてで
あるが、電子媒体の所在を把握している企業に比べ、紙
媒体の所在を正確に把握している企業は少ない。(電子媒
体の個人情報の所在と件数を把握している企業は59%、
一方紙媒体の場合は43%)
また、現時点での管理対象として、96%の企業が何
らかの電子媒体(DBやパソコン)を管理対象としてい
14
図28.ログの保存期間
(7)危機管理
如何に先端技術を導入して漏えい防止策を講じても、
リスクゼロの状態にするのは困難である。これまでも、
傍目からすれば十分な対策を実施していると思われるよ
1年未満
4%
明確に決めてい
ない
32%
1年以上3年未
満
42%
うな企業でも、漏えい事件は発生している。万が一、漏
えい事件などが発生した場合は、事故処理の方法が重要
となる。事故発生後どのようなタイミングで誰がどのよ
半永久的
11%
うな方法で発表するか、また個人への謝罪方法や原因究
明はどのように行うか、などである。事故処理を間違え
3年以上
11%
るようなことがあっては、消費者やメディアの反感を買
い企業の信用のさらなる失墜にもなりかねない。個人情
図28は、ログを取っている場合のログ保存期間を表し
報保護法の中で苦情の処理の必要性が問われているよう
ている。保存期間が3年未満の企業が約5割弱を占めてい
に、不測の事態に備える仕組みは企業にとって重要な対
る一方で、明確に決めていない企業も3割存在する。これ
策項目である。
までの漏えい事件の中には、数年前に漏えいしていたこと
が最近になって判明した事例もある。原因究明のためにロ
進捗度上位企業の状況
図27でも分かるように進捗度中位下位企業は、危機
管理対策の手始めとして、事故発生時の対処マニュアル
/苦情処理ルールを作成すべきである。
図27.事故発生時の対策・苦情処理のルール化
0%
20%
40%
60%
80%
100%
グ保存期間は長いほうが望ましいことは確かである。その
ため保存期間を半永久的とする企業も1割いる。
近年商品化されつつある個人情報漏えい保険に関する
状況を確認したところ、全回答企業中の4割弱が加入済
みまたは加入予定と回答があり、保険の認知・浸透が進
みつつあることが分かる。進捗度上位企業では6割を超
える企業が加入済みまたは加入予定となっており、危機
97
上位企業
3
意識を持って取り組んでいることが伺える。
図29.情報漏えい保険の加入状況
0%
中位下位企業
17
72
20%
60%
80%
100%
11
35%
上位企業
あり
40%
なし
29%
29%
6%
不明
漏えい事件発生時の原因究明の方法の一つとして、ロ
グ(データベースへのアクセス履歴など)の収集・保存
中位下位企業 4%
19%
72%
4%
がある。これについては、進捗度上位企業と中位下位企
業で大きな変化はなく、個人情報を含む全 DB を対象に
ログ管理をしている企業は約3割となっており、残りの
多くの企業は一部のDBのみを保存対象にしている。
15
加入済み
加入予定
予定なし
無回答
図30.外部監査の実施状況
(8)チェック機能
0%
社内で構築した様々な対策(組織、ルール、教育、シ
ステム導入など)の実施項目が適切か否か、それが社内
で実際に利用されているか否か、などを別の立場で極力
20%
40%
60%
80%
100%
3%
上位企業
22%
13%
22%
41%
中立的にチェックする機能が必要であろう。進捗度上位
の企業において、外部監査はまだ半数の企業にしか浸透
1%
していないものの、内部監査については約8割の企業が
実施している状況にある。進捗度中位下位の企業では、
中位下位企業
16%
67%
12%
3%
外部監査・内部監査とも実行状況は低い。
半年に1回以上
1年に1回
不定期
今後実施
予定なし
無回答
監査や認証取得などを実施することは、個人情報保護
対策部門が社内の現状をより認知する機会になるはずで
図31.内部監査の実施状況
ある。チェック機関からのフィードバックが、他の様々
な対策について改善策作成に繋がることが期待されるだ
0%
20 %
40%
60%
80 %
38%
6%
100%
けにチェック機能を持つことが重要であろう。
上位企業
41%
16%
1%
中位下位企業
10%
55 %
22%
7%
4%
半年に1回以上
1年に1回
不定 期
今後実施
予定なし
無回答
16
参考資料:(1)個人情報保護対策アプローチとCRM基盤構築
現状を把握せよ
過去に漏えい事件を起こした企業が、改めて現状把握
提唱している(図A)。個人情報或いは顧客情報を取り扱
に注力している通り(P 9図12)、各企業において、社
うコンタクトセンター、営業部門、マーケティング部門
内及び関係会社で、どの部門の誰が個人情報を取り扱っ
などでは、個人情報に関わる業務プロセスを書き示す習
ているかを把握できていないのが実情である。その個人
慣が無いか、古い記載のままで、現状を示していないこ
情報は、各担当者がどの様な媒体で何件保有しているの
とが多く、実体に合致した業務プロセスをドキュメント
か、管理は適切であるか。その実体を正確に把握できて
などで可視化しているケースは稀である。
いなければ、不安が募るばかりか、対策の立てようもない。
アビームコンサルティングでは、個人情報の取扱が適
各企業においては、何処にどの様な個人情報が存在し、ど
の様な業務プロセスで管理・使用されているのかを把握する
切に行われているかを把握し、評価・対策を講じ、その
ことが不可欠である。その上で、
対策云々を議論すべきである。
後モニタリングする「個人情報保護対策アプローチ」を
図A.個人情報保護対策アプローチ
個人情報保護対策アプローチ
Individual Data Protection Approach
1.スコープ策定
Scoping
6.モニタリング
個人情報に関する法律やガイドライン、こ
れまでの取組みを確認し、貴社におけるス
コープについて取り決めます。
Monitoring
2.基本方針策定
Privacy Strategies
個人情報保護の遵守状態を確認するた
め、貴社の業務プロセス、システム、
組織体制等について個人情報保護の監
督・監査を実施します。
法律、商習慣、IT環境、社内規定の現
状を考慮し、個人情報保護基本方針
(ポリシー)を策定します。
3.現状調査
As -Is Analysis
5.解決
Solutions
人的、業務的およびシステム的な解決策/管理措
置を確立します。To -Be の業務プロセス定義に
加え、法令遵守プログラムや問題発生時の対策
なども含みます。
4.評価
Assessments
業務プロセス、システム、組織の現状
について調査します。特にデータのラ
イフサイクルに基づき、詳細な調査を
行います。
業務プロセス、システム、組織における個
人情報保護に向けた取り組み状況や管理体
制を確認し、評価を実施します。
17
データのライフサイクル管理を実施
「個人情報保護対策アプローチ」において業務プロセ
データの暗号化などの対策も重要ではあるが、組織全体と
スを管理・把握する場合、個人情報の流れを「データの
して取り組むべき対策は、以下の点に集約される。
ライフサイクル」
(図 B 参照)という観点で確認する必要
○紙媒体を止め、電子化を進める
がある。企業は、個人情報を入手・取得してから、その
○ PC 上への配布を止め、データの一元管理を推進する
利用による恩恵を受けると同時に、完全に企業内から個
○必要が無くなったデータは削除する
人情報を削除するまで、漏えいのリスクを背負うことに
過去に漏えい事件を起こした企業が、その対策として
なる。従って、個人情報の入手から削除に至るまでの「デー
ペーパーレス化を進めていることからも分かるように、
タのライフサイクル」に着目して、次のような観点で業
個人情報管理を管理しやすい媒体に移行し、かつ、デー
務プロセスを確認することが肝要である。
タの一元化により情報漏えいリスクの点在を避けること。
○個人情報は、適法な手段で入手され、情報管理は適切か
そして、ビジネス上の価値の無いデータを積極的に削除
○個人情報はどの部門に分配・参照されているか
することで、漏えいからのリスクから開放される。これ
○各部門での安全管理は適切か
らの3つの対策は、企業内に蓄積した価値ある顧客情報
実際に「データのライフサイクル」に着目して業務プロ
を効果的に一元管理することつながり、CRMの推進の
セスを見直すと、様々な箇所で情報漏えいの危険性の実体
基盤となってゆくのである。
が浮き彫りになる。それぞれの箇所で、情報管理の徹底や
図 B.データのライフサイクル
Manage
Manage
Obtain
Obtain
Use
Use
Delete
Delete
Edit
Entry
Fax
Search
Change
Verify
Scan
Shred
Stor e
Impo rt
Copy
Ar ch iv e
Rest ore
Erase
Distribute
Route
Encode
Bur n
Ext ract
Format
Scr ap
Deco de
18
参考資料:(2)組織面におけるソリューション
具体的には、経済産業省のガイドラインでは安全管理対
個人情報取扱事業者は何をしなければいけないのか
個人情報保護法では、個人情報のみが保護の対象とな
策について記述している。ポイントは以下の 4 点である。
るが、組織が保有する重要な情報は他にも多数存在する。
1.組織的安全管理措置
例えば、経営計画や事業計画に関する情報は組織の根幹
組織体制の整備
に関わる情報であるし、研究開発情報や新商品情報など
規程等の整備と規程等に従った運用
は機密性の高い情報で、競合他社には見せることはでき
取扱い状況を一覧できる手段の整備
ない。
安全管理措置の評価、見直し及び改善
事故又は違反への対処 事業主は今後、他の情報資産と同じように、組織とし
て個人情報の安全性を確保するためのマネジメントシス
テムが必要である。
では、具体的にどのようにすれば、組織としてのマネ
ジメントシステムを確保することができるのだろうか。
個人情報保護法で定められた、個人情報取扱事業主が負
う義務は次の 7 つである。
2.人的安全管理措置
雇
用契約時及び委託契約時における非開示契約の締結
従業者に対する教育・訓練の実施
3.物理的安全管理措置
入退館(室)管理の実施
盗難等の防止
機器・装置等の物理的な保護
○個人情報の利用目的の特定
4.技術的安全管理措置
○個人情報の適正な取得、利用目的の通知
個人データへのアクセスにおける識別と認証
○正確性の確保
個人データへのアクセス制御
○安全管理措置
個人データへのアクセス権限の管理
○第三者提供の制限
個人データのアクセスの記録
○開示、訂正、利用停止
個人データを取り扱う情報システムについての不正
○苦情の処理
特に組織としてのマネジメントシステムの観点では、
安全管理措置の義務が事業主には課せられている。
個人情報取扱事業者は、その取り扱う個人データの漏え
い、滅失またはき損の防止その他の個人データの安全管理
のために必要かつ適切な措置を講じなければならない。(個
人情報保護法第 20 条)
19
ソフトウェア対策
個人データの移送・送信時の対策
個人データを取り扱う情報システムの動作確認時の
対策
個人データを取り扱う情報システムの監視
必要性の判断指標
マネジメントサイクルの実施
前述した「個人情報保護対策アプローチ」(図 A)で説
明したように、スコープ策定からモニタリングまでを一
つのサイクルとして実施することが大切である。
これは、組織面の対策にも言えることであり、同様の
マネジメントサイクルを繰り返すことで、組織の管理能
力を高めていくことが可能である。
しかし、時間的な制約もある中では、弊社のアプロー
チを各社の状況に合わせて、優先順位を決定してすすめ
ていく考え方を提案する。
1. 法律や各業界のガイドラインとの整合性・網羅性
2. 本社企画部門と現場との整合性
規程や規約が業務フローやマニュアルと整合性がある
かどうか
3. インパクトの大きさ(顧客や対外的な影響度合い)例
えば、件数の多さや機微情報を含むかどうかなど
推進期間の判断指標
1. 人材の有無
2. 対象範囲(スコープ)の広狭
3. タスク特性の難易度(システム、組織、風土改革)
その優先順位の決定にあたっては、そのタスクに必要
な事項の「必要性」と「推進期間の長さ」の 2 つの要素
により、各タスクを ABCD 評価する。
ランク A:必要性が高く、基本的なタスク。緊急性は高
く、直ちに実行に移す必要がある
ランク B:必要性が高いため、早期に推進体制を構築す
る必要がある。実行を前提にスケジュールを
大
ランクA
作成する
ランクB
ランク C:ランク A・B の実行に目途がつきリソースに
余裕がある場合に実行に移行する
ランクC
必要性
ランク D:ランク A・B・C の実行に目途がつき、リソー
スに余裕がある場合に実行に移行する
ランクD
小
数ヶ月
短
い
11年以内
推進期間
このように優先順位を明確にして、組織面のタスクを
11年以上
長
い
推進することにより、個人情報取扱事業者はより効果的
に、安全管理措置上の義務を果たしていくことができる。
20
最後に
本調査を通じて、個人情報保護対策の進んでいない企
業の多さが明らかとなった。
事業主は、従業員に対して個人情報保護法遵守に向け
情報漏えいはもとより個人情報保護法に違反するよう
て監督義務を持っている。従業員が一体で取り組むこと
な不適切な個人情報取扱事例がこれ以上氾濫するようで
で、従来から意識の不徹底という課題を持っていたコン
あれば、個人情報を取扱う企業全体の信用を失墜しかね
プライアンス遵守への従業員意識の向上を図ることがで
ない。ひいては個人情報を提示しない消費者も増え、事
きる。
業活動全般に支障を来たすことにもなりかねない。多く
の企業にとって業務推進のためには個人情報は必要不可
欠であり、その取扱を適切に行うことは、法の施行に関
わらず事業者の責務であることを理解して頂きたい。
但し、決してマイナス志向になる必要はない。個人情
報を適切に取扱うことで生まれるメリットも大きい。参
考資料で言及したCRM基盤構築やマネジメントサイク
ルの実施により、次の4つのメリットが生まれる。
①企業間取引を行う際の信用拡大
④業務品質向上への寄与
個人情報保護に向けてのマネジメントサイクルの改善
活動を通じて、業務プロセスを標準化したり、業務品質
レベルを向上したりすることに繋がる。例えば、参考資
料(1)でも述べたように、コンタクトセンター、営業部門、
マーケティング部門など、企業横断的に情報の一元管理
化が進めば、消費者向けサービスの品質を向上させるこ
とができる。
個人情報の漏えいにより、収益面でダメージを受けた
個人情報保護法では、業務の委託先企業の監督責任を
企業も多い。個人情報保護対策が、重要な経営課題であ
負うことになるため、今後、特に、個人情報を活用して
ることを今一度認識する必要がある。企業は、規模に関
展開する事業の受託については個人情報管理体制が厳し
わらず保護法ならびに各省庁のガイドラインを参照し、
く問われることになるものと思われる。実際に、個人情
業務内容に即した対策を講じるべきだろう。組織・規則・
報の不適切な管理を理由で委託を中止された企業が実在
教育・危機管理など各種の対策をバランス良く、優先度
する。
を考慮して取り組むことが重要である。
②顧客からの信頼獲得
さまざまな個人情報の漏えいに関する事件が報道され
る昨今の状況で、自分の個人情報が企業においてどのよ
うに使われているのかということに意識を持つ消費者も
増えてきている。そのような消費者からの企業に対する
視線はより厳しいものになっており、適切な個人データ
の管理が消費者に安心感を提供することができ、そのこ
とが企業選択の条件の一つになっていくであろう。
21
③従業員意識向上
アビーム リサーチのご紹介
アビームリサーチは、アビームコンサルティングの社内シンクタンク部門であり、経営トップが直面する重要な経営課
題に焦点を当てて、独自の調査データに裏付けられた実践的なオピニオンを発信しています。アビームリサーチに関す
る詳しい情報は、下記までお問合せください。
アビームリサーチ
ディレクター
木村 公昭
[email protected]
アビーム コンサルティングのご紹介
アビームコンサルティングは、戦略、BPR、IT、組織・人事、アウトソーシング等の専門知識と豊富な経験を持つ約 2,000
名のコンサルタントを有し、金融、製造、流通、エネルギー、情報通信、公共等の分野の企業・組織に対して、幅広いコ
ンサルティングサービスを提供している総合マネジメントコンサルティングファームです。
著者
秋山 紀郎 CRM事業部 シニアマネージャー
[email protected]
大石 裕路 組織・人事サービス事業部 マネージャー
[email protected]
本レポートに関するお問合せ先
マーケティング部
Tel. 03-5521-5555
Yurakucho Building, 1-10-1 Yurakucho, Chiyoda-ku, Tokyo, 100-0006 Japan
Tel : +81-3-5521-5555 Fax : +81-3-5521-5563
http: //jp.abeam.com
Copyright © 2005 by ABeam Consulting, All rights reserved.
Fly UP