影響大きい「個人情報保護法」完全施行

見直し迫られる企業の情報活用

　2005年4月から完全施行に入る個人情報保護法が、企業の情報システムの在り方に大きな影響を及ぼしそうだ。同法は個人情報の厳格な管理を企業に求める。この法を忠実に守ろうとすれば、これまで企業の情報システムが目指してきた方向性──社内に分散するデータを統合し、より多くの社員で情報共有しながら情報活用を活発化させる──を見直さざるを得ない。個人情報はなるべく分散させ、アクセスできる社員の数を最小限に抑え、情報活用の幅を制限する必要もある。こうした企業ニーズの変化に対応したソリューションも現れ始めている。（坂口正憲（ジャーナリスト）●取材／文）

■厳しさ増す企業の情報管理　セキュリティビジネスにはプラス

　個人情報保護法が完全施行されると、社会的にプライバシーに対する意識が一層高まることは必至だ。個人情報の漏えい事件を起こした企業は、今まで以上に大きな信用失墜や実損を被る可能性が十分にある。

　そのため、多くの企業で個人情報の取り扱いを抜本的に見直し始めている。そのガイドラインとして、「プライバシーマーク（Pマーク）」、「TRUSTe」といった個人情報保護に関する認証制度が利用されるケースも増えている。現在、Pマークの認定企業は1000社ほど、TRUSTeは300社ほどであり、これから駆け込み取得が本格化しそうだ。

　認定取得を手助けするプライバシーコンサルタントを務めるジャパンコンピューターサービスの田邊貴一氏は、「他の先進諸国では個人情報の流通が経済活動に不可欠として、適切に流通させるための法整備を進めている。しかし日本の場合、個人の権利保護が前面に出て、できる限り流通させない制度となっている。したがって、企業にはかなり厳密な情報管理が求められている」と指摘する。

　ともあれ、産業界には「今後はPマークぐらい取得していないとビジネスができない」という雰囲気が強まっている。個人情報保護法は、消費者を顧客とする企業のみに適用されるものと思われがちだが、社員の人事情報や個人名を含む法人顧客の情報も“個人情報”と見なされるので、多くの企業が「個人情報取扱事業者」となるのだ。

　企業が抱える個人情報の大半がデジタルデータとして活用されている現在、個人情報保護法は企業の情報システムの在り方にも影響を及ぼす。

　IT業界で一般的に考えられるのは、企業のセキュリティ強化によるプラス面だろう。ディレクトリ製品により社員のアクセス権限（アカウント）を集中管理し、不正利用を防ぐのはもはや情報システムでは不可欠な機能要素だ。

　実際、ディレクトリ製品を提供するITベンダーのビジネスも活況を見せている。

　例えば、統合ディレクトリ製品「グリーンオフィス・ディレクトリ」を擁する京セラコミュニケーションシステムズは、「組織変更・人事異動によって煩雑になるアカウント管理を効率化する仕組みを求める潜在ニーズは大きい」と製品の拡販に力を入れている。

■社員の情報アクセスも制限　CRMやBIに課題も

　ただ、企業側からすると、一般的なアカウント管理だけでは情報漏えいのリスクを十分に軽減できない。情報漏えい事件の多くが正当なアクセス権限を持った内部関係者によって行われているという現実があるからだ。そのため、社員に与える権限そのものを大幅に制限する動きが徐々に広まっている。

　これまでの企業システムは、より多くの社員が情報にアクセス、現場レベルで自由に情報を活用できる仕組みを目指してきた。ところが、個人情報保護法に即した情報管理を行おうと思えば、情報の集中管理を強化し、現場の裁量で扱える活用の幅を極力抑えようという考えすら出てくる。

　あるプリンタメーカーの営業幹部も、「顧客に調査したところ、個人情報を含む書類の印刷やコピーを禁止するところが増えており、我々にとっても影響は小さくない」と打ち明ける。前出の田邊氏は、「Pマークを取得したある企業では、記録メディアの社内持ち込みを完全に禁止。使用する場合は申請書が必要になるといった制限を実施しているところもある」と話す。

　民間企業に先駆けて罰則規定が課されてきた行政機関では、職員が使うすべてのパソコンからCDドライブなどの記憶装置を取り外すことが一般化しているが、今後は民間企業でも同様の“安全対策”が浸透する可能性がある。

　こうした企業ニーズの変化に自ら対応していくベンダーも現れてきた。例えば、オービックビジネスコンサルタント（OBC）は、「基幹業務データには個人情報が多く含まれている。データを安全に取り扱えるかどうかを気にかけるユーザーが増えており、我々としても対応が必要になってきた」と話す。

　OBCが今春から打ち出すソリューションは、シトリックスのアクセスインフラソフト「メタフレーム」との連携により、奉行シリーズ（ネットワーク版）にアクセスする端末をシンクライアント化する。管理側の設定次第で、端末側での印刷やローカルディスクへの保存はおろか、コピー＆ペーストも禁止でき、データをエクセルに移し替えるなどの作業も不可能にできる。端末側で可能なのはデータの参照と入力だけになり、データ流出の経路は完全に塞げる。

　ただし、このように企業が情報システムに求める要素が変わってくれば、「CRM（顧客情報管理）により部門を超えて顧客情報を共有する」、「現場がBI（ビジネスインテリジェンス）ツールを使って顧客情報を分析する」などのソリューションが成り立ちにくくなる。個人情報保護法の完全施行は、IT業界にとってプラス面ばかりではない。今後、企業システムがどのように変わっていくか注意する必要があるだろう。