コンサルティングサービス
経営コラム
経済・政策レポート
会社情報

経済・政策レポート

Business & Economic Review 2004年05月号

【OPINION】
個人情報保護の在り方と取り組むべき課題

2004年04月25日 調査部 IT政策研究センター  野村敦子


  1. はじめに
    情報技術(IT)の進歩に伴い、様々な情報をデジタルデータとして収集・蓄積・管理・加工・編集し、ネットワークや記憶メディアを通じてやり取りすることが容易になっている。個人に関する情報も、インターネットや携帯電話などを通じてやり取りされる機会が増加しており、これを扱う国や地方自治体、企業などにとって、個人のプライバシーの保護が重要な課題となっている。
    本稿では、わが国のプライバシー保護に対する取り組みの現状をみるとともに、官民が取り組むべき課題について検討する。

  2. わが国のプライバシー保護に対する取り組み
    (1)政府の取り組みの現状
    プライバシー保護の問題が世界的に広く認識されるようになったのは、1980年9月にOECDにおいて、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD 理事会勧告」が採択されたことに端を発する。各国間で個人情報の取り扱い方に関する規制が異なると、その有用な活用の妨げとなる。そこでOECD は、個人のプライバシー保護と個人情報の有用な活用の両立に配慮した国際的な基準として、OECDプライバシー・ガイドラインを制定した。これを受け、95年にEUで個人データ保護指令が採択されるなど、各国において法制面および技術面から、プライバシー保護への取り組みが次第に広がった。
    こうした動きは、わが国も例外ではない。まず法制面では、88年に中央省庁を対象とする「行政機関の保有する電子計算機処理にかかる個人情報保護に関する法律」が成立した。さらに、89年には旧通商産業省(現経済産業省)が「民間部門における電子計算機処理にかかる個人情報の保護に関するガイドライン」を制定し、98年には日本情報処理開発協会(JIPDEC)がプライバシーマーク制度を導入するなど、政府、民間両面からの取り組みが進められている。
    技術面では、個人情報を保護するための様々な技術の開発や高度化が進められている。例えば、データを解読不能にするための暗号技術や、インターネット上の通信の安全性を確保するための基盤であるPKI、データベースへの外部からの進入を遮断・監視するシステムなどが開発されている。
    このように法制面や技術面からの対策が進められているにもかかわらず、大量の個人情報が流出・漏洩する事件が頻繁に発生するなど、プライバシーを侵害する事件は逆に増加している。実際、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」違反の検挙件数は、年々増加する傾向にある(平成12年度の検挙件数67件→平成15年度145件)。
    そこで、改めてわが国のプライバシー保護に関する最近の対応状況をみると、まず、法制面では、政府は法整備や不法行為に対する取り締まりの強化に取り組んでいる。2003年5月に制定された「個人情報の保護に関する法律(個人情報保護法)」(本格施行は2005年4月1日から)により、個人情報を取り扱う事業者は事業活動において利用する個人情報について、適切な管理を行うことが義務付けられることとなった。さらに、不正アクセス禁止法による取り締まりの強化や各省庁における政令・指針等の策定、業界団体におけるガイドラインの作成などの対策が講じられている。
    また、技術面では、政府のプロジェクトや研究機関、民間企業などにおいて、身体的な特徴から本人を識別するバイオメトリクス(生体認証)をはじめとする認証技術や進入検知技術、アクセス制御技術などの開発や、さらに安全かつ堅牢なセキュリティシステムを実現するための取り組みが進められている。このように、近年、法制面と技術面からの対応が強化されているが、その成果は運用の仕方によって決まる。そこで、わが国における企業や消費者の個人情報保護に対する意識や体制面の整備状況などについて確認する。

    (2)企業の取り組みの現状
    まず、企業の取り組みの現状を、各種調査やプライバシーマークからみてみよう。
    総務省の「通信利用動向調査」(2003年3月発表)によれば、個人情報保護に関する対策について「特に行なっていない」とする企業の割合は40.5 %にのぼる。2002年9月に総務省が発表した「情報セキュリティ対策の状況調査」においても、個人情報の管理規約を定めている企業の割合は、大企業で25.9%、中小企業では8.5%にとどまる。また、顧客の個人情報の使用や閲覧を制限している企業の割合は大企業で25%、中小企業で11.1%にすぎず、中小企業の9.4%は誰でも個人情報を使用、閲覧できる状態にあると答えている。社内の情報セキュリティ教育に関しても、全社員を対象とした集合研修を行っている企業は1割に満たない。企業にとって、顧客データに基づいて商品を開発したり、販売戦略を策定することは重要であり、顧客情報に関するデータベースは貴重な財産である。一方で、ひとたび個人情報の不適切な取り扱いが明らかになれば、企業は社会的な信用や顧客基盤を失うだけでなく、巨額の損害賠償責任を負うことにもなりかねない。それにもかかわらず、企業の個人情報保護に関する取り組みが極めて低調であることを、これらの調査結果は示している。
    次に、プライバシーマーク制度について検証する。プライバシーマーク制度とは、JIPDECおよびその指定機関が、個人情報保護に関する国内基準に適合している事業者を認定し、そのロゴ使用を許可する制度である。2004年3月時点の認定事業者数は720社にすぎない。個人向けビジネスを行う企業は必ず個人情報を取り扱っていることからすれば、この数字は余りにも小さい。JIPDECの「システム監査普及状況調査」(2003年3月)でも、プライバシーマークを「知らない」と答えた企業の割合は監査部門で54.6 %、被監査部門で45.5%に達しており、制度発足から5年が経過しているにもかかわらず、その認知度は低い。また、総務省の「通信利用動向調査」によれば、個人情報保護の具体的な対策として、「プライバシーマークの取得」をあげる企業の割合はわずか2.2%、「外注先の選定要件の強化(プライバシーマークの取得の有無等)」をあげる企業の割合も2.9%にとどまっている。このように、プライバシーマーク制度の活用状況は極めて低いといわざるをえない。

    (3)消費者の個人情報保護に対する意識の現状
    それでは、消費者の個人情報保護に関する問題意識はどうであろうか。
    内閣府が2003年9月に実施した「個人情報保護に関する世論調査」によれば、個人情報保護について「関心がある」とする者の割合は62.7%、(「関心がある」24.0%+「まあ関心がある」38.8%)となっている。また、個人情報の取り扱いについて、承認した目的以外の利用、情報の漏れ、知らない間の情報収集などで不安を感じている者の割合はいずれも60%以上にのぼる。
    次に、自身の個人情報に対する権利意識について、行政機関や民間の事業者などが保有している自分に関する情報の内容を確かめてみたいと思ったことがあるかという質問に対して、「ない」と答えた者の割合は68.9%となっている。個人情報の保護に関心がある者の割合は高いものの、自分の情報がどのように利用されているかについて関心を持つ者の割合は低いことが、この調査結果から窺える。さらに、個人情報保護法の認知度について、同法の存在を「知らない」と答えた者の割合は40.9 %となっている。「知っている」と答えた者のなかには、報道などで法律の名称を聞いたことはあるものの詳しい内容までは知らない者が多く含まれていると考えられ、個人情報保護法は国民の間に十分に浸透しているとはいえない。
    実際、インターネットを利用するにあたってプライバシーの保護に不安を感じる者の割合が高い(総務省「通信利用動向調査」の調査結果では54.1%)にもかかわらず、氏名、住所、年齢、メールアドレス、電話番号等の個人情報を、ホームページ運営者に求められるがままに無防備に記入しているユーザーが少なくない。NRI セキュアテクノロジーズが実施した「個人情報保護に関する消費者意識調査2003 」(2003年7月)によれば、9割以上のユーザーがウェブサイトに住所や氏名など自身の情報を入力した経験を持つ。さらに、趣味や嗜好・生活習慣などについて入力した経験を持つ者の割合は84.6 %、家族構成や家族の氏名についても66.2%に達する。

  3. プライバシー保護に向けたわが国の課題
    ここまでみてきたように、わが国における個人情報保護に向けた法制面、あるいは技術面の取り組みには一定の成果が認められるものの、企業や個人の認識はいまだに低いといわざるをえない。このような状況を打開するために、わが国が取り組むべき課題を以下取りまとめる。
    (1)組織におけるコンプライアンス体制の構築と教育・訓練の拡充
    第1に、個人情報保護に向けたコンプライアンス体制の構築とそのための組織内の教育、訓練の徹底である。
    これを実現するために有効な方策の一つは、プライバシーマークやTRUSTeなど、外部機関による個人情報保護に対する評価・認証制度を導入することである。これらの制度は、企業のコンプライアンス体制の構築状況を示す客観的な指標となる。また、プライバシーマーク等を取得するためには全社的な取り組みが必要となることから、従業員の教育や訓練を通じて社内のコンプライアンス意識を向上させる効果もある。とくに、これまで人的対策の不十分さが個人情報の流出につながったケースが多いことを考えれば、従業員に対する継続的な教育や訓練を実施することは、コンプライアンス体制の構築に不可欠の要素といえる。
    例えばプライバシーマーク制度の認定を受けるためには、コンプライアンス・プログラムの策定など、JIS規格に基づいた個人情報管理システムの構築が要件として求められる。しかし、わが国では多くの企業がコンプライアンス・プログラムやプライバシーポリシーの策定、個人情報管理システムの構築等に関するノウハウや知識を持っていない。また、プライバシーマークは2年ごとに更新の審査・認定を受ける必要がある(TRUSTeも認証確認シールの有効期間が1年間とされている)ことから、その取得費用がかさむだけでなく、セキュリティシステム強化のための投資や、専任担当者の設置が必要となるなど、企業にとって負担が大きい。
    したがって、政府としても、プライバシーマーク等の取得を促す何らかのインセンティブ策を講じる必要があろう。一つには、プライバシーマーク等の申請や個人情報管理体制の構築、従業員教育等の費用に対して、補助金の交付や低利融資制度を設けるなど財政的な支援を行うことである。また、プライバシーマーク等に関するセミナーやコンサルティングの実施、相談窓口の設置など、外部機関の認証を取得するためのサポートサービスを充実させることも有効であろう。例えば、こうした業務を行うNPOなどに対し、国や地方自治体が支援を行うことが考えられる。
    企業においても、プライバシーマークの有効な活用方法を検討する必要がある。近年、公的機関や大企業では、業務の効率化の一環として、業務の一部を中小企業などにアウトソーシングする事例が増えている。しかし、大企業に比べ中小企業はコンプライアンス体制の整備が遅れているところが多く、最近の個人情報の流出・漏洩事件のなかには、アウトソーシング先の従業員が関与した事例も少なくない。個人情報保護をはじめとするコンプライアンス体制は、自社はもとより、アウトソーシング先企業や取引先企業においても徹底されなければならない。取引先や委託先を選定する際の基準の一つとして、プライバシーマーク等を活用していくことが考えられる。多くの企業や公的機関が、相手先のプライバシーマーク等の取得の有無を重視することになれば、こうした認証を取得しようとする企業の裾野が広がることとなり、ひいてはコンプライアンス体制の充実につながろう。

    (2)プライバシー保護に対する国民の意識の醸成
    第2に、プライバシー保護の重要性について国民の意識を高めていくことである。個人情報保護法の制定により、企業に個人情報の適切な取り扱いが求められることが明確になったが、消費者も、自分の情報は自分で管理する、不用意に個人情報を提供しない、個人情報を守る手段を知る、などの意識改革が強く求められる。仮に、そうした意識改革が進まず、国民の間に個人情報の漏洩についての不安が広がった場合、インターネットや携帯電話などを活用した電子商取引や各種公共サービスの普及にも影響が出る可能性がある。
    そのため、政府において、国民を対象としたプライバシー保護に関する啓蒙活動を一段と強化することが求められる。例えば、企業や地方自治体、各地の消費者生活センター、NPOなどによるプライバシー保護に関する相談窓口の設置やIT講習会でのプライバシー保護対策講座の開設などを促進するとともに、こうした取り組みに対し支援策を講じることが考えられる。
    加えて、政府は、個人情報保護に関する情報公開を積極的に行うべきである。その際には、関連法令の内容や、公的機関・民間事業者などの取り組み事例ばかりでなく、個人情報保護に対する意識の希薄さや対策が不十分であったために、事故につながった事例など、マイナス面の情報も積極的に公開することが必要である。
    一方、企業においても、個人情報保護法の基本理念に基づき、個人情報の収集・利用の目的やその内容、保護対策への取り組み状況などについて、広く情報開示することで消費者の理解を促し、併せて個人が自分のプライバシーを守るための手段や対策を知らしめる責任がある。それと同時に、消費者個人においても、必要以上の情報を安易に提供しない、ウェブサイトを運営する企業のプライバシーポリシーやプライバシー保護に関する外部機関の認証の有無を確認する、必要があれば自己の情報の削除・訂正を要求するといった自衛手段を講じるなど、プライバシー保護に積極的に関与していく姿勢が求められる。
    さらに、こうした取り組みが実効を上げ、社会全体にプライバシー保護に対する意識を浸透させていくためには、学校などにおける早期教育の実施が有効なツールとなろう。現在、高度情報化社会の到来とともに、メディアリテラシー教育が盛んになっている。しかし、これが単にパソコンやインターネットなどの操作方法や、それらを通じた情報収集や情報発信能力の養成だけを目的とするようでは、情報化社会に対応する能力を育むには不十分である。ネット社会の利便性だけでなく危険性についても十分に認識し、自己に有用な情報、あるいは正しい、安全と考えられる情報を識別する能力を養い、自己の情報を守るための方策についても併せて習得する必要がある。そのためには、プライバシー保護の重要性や個人情報保護法の基本理念、企業や公的機関、個人が取り組むべき課題などについてもメディアリテラシー教育に含めるべきである。

  4. おわりに
    わが国がe-Japan 戦略で目指す「ITの利活用を推進し、元気・安心・感動・便利社会」を実現するにあたって、プライバシー保護と個人情報の有用な活用の両立は重要な課題である。先端技術の開発とその実用化ばかりが優先され、プライバシー保護への対応が後回しにされていては、利用者の信頼を得ることはできず、豊かな社会の形成に有効であるはずの新しい技術やサービスは受け入れられないことになる。一方、規制ばかりが強化されるようでは、自由な企業活動や新しい技術・サービスの創出の妨げとなり、国民がIT分野における技術革新の恩恵を受けることができなくなってしまう。
    高度情報化社会において個人情報保護対策が有効に機能し、国民が安心してITの便益を受けることができるよう、法制面、技術面、ならびに人的・組織的な側面からの不断の取り組みが不可欠であり、国民の個人情報保護に対する意識を高めることが官民双方の責務といえよう。
経済・政策レポート
経済・政策レポート一覧

テーマ別

経済分析・政策提言

景気・相場展望

論文

スペシャルコラム

調査部Twitter

経済・政策情報
メールマガジン

レポートに関する
お問い合わせ