個人情報保護法は、予想以上に企業活動に影響を及ぼしている。

　ある流通大手の関係者は、「P（プライバシー）マークを取っていないと、官公庁の入札にも参加できなくなってきた」と打ち明ける。個人情報が一切絡まない「物販」でも、Pマークを求められるというのだ。

　そのため、この流通大手ではPマーク取得に向け、社内にある1000台ほどのパソコンをすべて買い替える。書き込み可能な記録ドライブを外し、USBポート経由のデータ転送にも制限をかける。さらには、ノートパソコンもワイヤーで机に固定し、社内外の持ち運びを禁止するという。パソコンの利便性を大きく犠牲にしてでも、Pマークを取得する考えだ。

　嘘か本当か分からないこんな話もある。Pマークを取得したある金融機関の営業担当者は、これから出向く一軒分の顧客情報しか外に持ち出せなくなった。別の客先に出向く都度、いったん帰社し、顧客情報を差し替える。当然、効率は極端に悪くなった。

　この金融機関の例は極端としても、「ノートパソコンに顧客情報を詰め込み、直行直帰で営業時間を増やす」に代表されるようなモバイルコンピューティング活用は影を潜め出している。

　企業はなぜここまでIT活用の“活用規制”に走るのか。企業のPマーク取得を手助けするプライバシーコンサルタントの1人が次のように解説してくれた。

　「Pマーク自体は具体的に『ITシステムの何をこうしろ』と言っていない。ただ企業は、自らITの機能や利用範囲に制限をかけることを選ぶ傾向が強い。ルール運用で個人情報管理を徹底しようと思えば、そのルールが守られているかどうかも管理しなければならないが、現実的には、ある程度の規模になると完璧な管理は不可能になるからだ」。

　先のモバイルコンピューティングで言えば、社外に持ち出せる顧客情報の種類や持ち出す際の申請手続きを定めたルールを設け、運用するより、ノートパソコンの持ち出しを全面禁止にする方が確実に安全でコストがかからないということである。

　企業が個人情報保護でリスクとコストのより低い方策を選ぶ時、これまでとは違って、IT活用は大きく制約を受けることになりそうだ。（坂口正憲（ジャーナリスト））