「個人情報の保護活動について、自社の取り組みを大っぴらに話すことは難しい。そのため、ノウハウが社内に蓄積されがちだ」――そう語るのは、マイクロソフト 社長室 個人情報保護事務局長 プライバシースペシャリストの久保田成氏。10月2日、東京・神田で開催された「Microsoft Office SharePoint Conference」で、「マイクロソフト社内事例 個人情報の適切な管理・運用 SharePointによる業務プロセス構築の実例」と題し、講演した際の言葉だ。
同社代表執行役社長のDarren Huston氏の特命により事務局長を務める久保田氏は、個人情報の活用を「保護と利用のバランス」から訴える。
「1件あたりの個人情報の相場は500円といわれている」(久保田氏)が、例えば100件の個人情報が入力された携帯電話を紛失した場合、どの程度の損失があったと考えるべきなのか。マイクロソフトは「保有個人情報 簡易算出ツール」をウェブサイトで公開、保有している個人情報(情報資産)の現金化、見える化するツールを提供している。
上記を例にとり、失われた個人情報の価値を算出したのが下の画像だ。個人情報 保有件数を100件、企業規模を小規模企業、基礎情報の氏名、電話番号・FAX、勤務先情報、電子メールを「Yes」とし、その他を「No」と設定、1件あたりの個人情報を500円と仮定して算出したところ、保有個人情報の資産価値は15万円となった。
企業規模が大きくなるにつれ、資産価値は上がっていく
なぜこのようなツールが必要になるかといえば、それは個人情報を情報資産として把握する必要があるからだ。無形、有形の資産を把握することにより、適切な投資額、得られる売上を計算することが可能になる。
資産としての個人情報という点では、「顧客情報の利用率を把握しなければならない」(久保田氏)。
「どれくらい使われているのか。10年、20年前の情報を無駄に持っていると、管理コストがかかる。これを削減することによって、運用コストも下げられる」と指摘する。
一方、「保護」については社員情報などの内部情報と、顧客情報などの外部情報に区別。前者については「情報セキュリティのみに気をつけていれば、大体のことは解決する」と久保田氏。外部情報はセキュリティに加え、顧客のプライバシーへの配慮と、利用率の把握を指摘する。
情報セキュリティ分野においては、「電子文書法」や、いわゆる「個人情報保護法」の施行など、要求事項が増加している。また、2008年4月以降の施行が見込まれている「金融商品取引法」など、法令整備とそれに伴う社会的責務は拡大傾向にあるといえよう。また、情報セキュリティの分野では、ITILなどのガイドライン、フレームワークも参照するべきとされている。
久保田氏は「実務レベルでどの程度まで落とし込むかが重要。(ガイドラインの)すべてをやるのは現実的ではない」との見方を示す。
こうしてマイクロソフトは、個人情報の管理、運用について、「管理"台帳"からワークフロー」(同)へと発送を転換、SharePointで個人情報保護のためのマネージメントシステムを構築した。
システム名は「個人情報台帳システム(PII Control System:PIICS)」。PIICSでは次の5W1Hによって、ワークフローを可視化した。
- 「アクセス権付与」:誰がデータにアクセスするのか(Who)
- 「案件の登録」:何に使うのか、なぜ使うのか(What、Why)
- 「個人情報の利用」:いつ使うのか、どこで使うのか、どのように使うのか(When、Where、How)
- 「案件の終了」:いつ終えたのか(When)
折しも10月3日、Windows Live Spacesに設けられた事務局のブログに、「個人情報保護に関する自社事例を公開」というエントリが投稿された。マイクロソフトが社内で利用しているPIICSの事例を紹介する内容で、久保田氏が投稿したエントリだ。
久保田氏は講演で、「人手ですべてやるのではなく、要所、要所でITを活用すべき」と、SharePoint Server 2007の利用を訴えている。しかし久保田氏は、ITの活用を勧めはするが「その要所は人が考える」(同)部分だと指摘する。その判断にマネージメントの手腕がかかっているといえそうだ。
