発表タイトル

情報セキュリティとプライバシー

個人情報保護法の全面施行直後から、個人データの大量漏えい事件が多発して、守られるべき情報が保護されない半面、公開されるべき情報が秘匿されるという「ちぐはぐ」な状況が続き、深刻な社会問題となってきた。後者の問題は過剰反応・過剰保護と呼ばれている。   過剰反応とは、民間部門では学校等が名簿の作成を控え、大規模災害時に病院が受け入れた受傷者の氏名を家族等にも告知しない等、必要な個人情報の提供が差し控えられるという事態が相次いだことをいう。過剰保護とは、不祥事で懲戒を受けた公務員の氏名の公表を、個人情報保護を名目に差し控えるような事態が頻発したことを指す。   同法では、電話帳情報から遺伝子情報まで広汎な情報を対象としているが、情報が対象だけに自由な情報流通に対する大きな障壁となりかねない。   「ガイドライン行政」という“形を変えた通達行政”が原因であるとする声も強い。民間部門では、各省庁のタテ割り構造を反映した主務大臣制の下に、24分野に37もの省庁イドラインが林立している。しかも、個々の内容が異なっており、疑問のある差異も多い。伝統的な業法体系をベースにしているため、新規の業態に対応が困難であるという問題もある。内閣府ではガイドライン共通化の動きがあるが、形式面が中心にすぎない。   情報セキュリティ関係の法令・規格の濫立という問題もある。個人データの安全管理措置を規定した個人情報保護法20条以下、伝統的な業法による規制、会社法による内部統制システムの基本方針決定義務が、金融商品取引法による財務報告の信頼性確保のための内部統制制度など、それぞれ手法が異なる法制度が濫立するため、企業では重複・矛盾による混乱が生じている。ISO/IEC27000シリーズ、個人情報保護系のJIS Q 15001、日本版COSOキューブなど関連規格も林立し、こうした規格の主導権争いがもたらす対応費用の増大に苦悩する企業は多い。   他にも、国際規格を日本に輸入する際に国内法（例：労働基準法）との整合性が分析されないまま使用されているなど、解決すべき課題は多い。