個人情報とは何か
個人情報保護法では「個人情報とは、生存する個人の情報であって、特定の個人を識別できる情報(氏名、生年月日など)を指す。これには、他の情報と容易に照合することができることによって特定の個人を識別することができる情報(学生名簿などと照合することで個人を特定できるような学籍番号など)も含まれる」とされています。
しかし、これは個人情報を判別するには大雑把すぎます。情報セキュリティでは「誰もが同じ判断ができること」を原則として管理策を設定します。個人のスキルに依存するようなセキュリティ対策は安定した安全確保を提供できないからです。対策にはもう少し具体性を伴う内容が必要です。
一般企業では個人情報保護方針とかプライバシーポリシーを提示しています。実はこの中に、その企業が考える個人情報とは何かが記載されています。個人情報保護法やプライバシーマーク(JIS Q 15001)では個人情報の具体的な項目を定めることまで求めていないので、記載していない企業もありますが、これはよい方策とはいえません。個人情報の提供者と企業とで解釈の違いが生まれてしまう可能性があるからです。
くり返しになりますが、「誰もが同じ判断ができること」の原則がない限り、情報セキュリティ対策はできませんし、システムに落とすことができません。まずはそこから始める必要があります。
もちろん状況によって取り扱う個人情報の明細が変わる可能性や、事業体が大きいために、ビジネスが多岐にわたる場合にも個人の特定ができないということがあるかもしれません。
しかし、安全管理や管理体制を運用するには、個人を特定する必要があります。個人情報を提供する側はこの辺りを見ていくことで、その企業が個人情報保護の仕組みを構築しているか、それとも人間の意識だけでやろうとしているかを見ぬくことができます。人間の意識だけではミスが生じがちです。できる限り人間のミスが影響しないような仕組みが構築されているかを確認したほうが良いでしょう。
個人情報の安全を管理するために「個人情報」という分類をやめる
個人情報は情報の1つです。つまり、企業の情報管理の1つとして個人情報管理があるわけです。もっと厳密に言えば、「個人情報」というラベルを付けて管理をしているということになります。
このラベルは誰にもわかりやすいと思われがちですが、実態を伴わず、あまり有効ではないのです。
例えば「社外秘」というラベルがあれば、すべての社員は「社外に持ちだしてはならない。社外の者に閲覧させてはならない」といえるでしょう。しかし「個人情報」というラベルを見ても具体的にどのように行動したら良いのかが推測できません。個人情報は重要だから大事にしなさいと言っても、その方法がわからないのです。
