御社は大丈夫? 個人情報保護法で企業の対応に大きな差
2005/2/24
「個人情報の保護に関する法律(個人情報保護法)施行の3カ月前で『対応済み』としている企業はわずか34%」。アビーム コンサルティングが2月23日に発表した企業に対する個人情報保護法対策のアンケートで、このような結果が明らかになった。調査を担当したアビーム コンサルティングの経営研究部(アビームリサーチ)シニアマネージャー 石神芳文氏は、結果について「個人情報保護法の施行が決まったのは約2年前。時間がなかったというのは(対策が行われていない)理由にしてほしくない」と述べたうえで、「企業のトップが危機感を持てば対策の底上げは可能」として、優先順位を付けて必要な対策を行うことを勧めた。
アビーム コンサルティングの経営研究部(アビームリサーチ)シニアマネージャー 石神芳文氏 |
調査は2005年1月に実施。個人情報取扱事業者となる企業が対象。製造業や小売業、金融業、不動産業、情報サービス業など計121社が回答した。企業規模は中小から大企業までさまざま。
政府の個人情報保護に関する基本方針で重要項目とされている「社内規定の策定、公表」「責任体制の確保」「従業員の教育研修」のすべての項目で「対応済み」と答えた企業は全体の34%だった。社内規定の作成では48%が作成済みとしているが、38%が作成中、13%がなしと答えていて、不十分な対応となっている。
また、個人情報保護に関する担当役員を任命している企業は37%。専門部署を設けているのは17%だった(複数回答)。既存部署に追加(34%)や体制を検討中(32%)も多かった。社内教育は42%が実施済み。49%は今後実施すると答えていた。石神氏はこれらの結果について「私の予想に反して低い結果となった」と述べた。
対策の進ちょく度を業種別で見ると、情報サービス業が最も進んでいた。次いで金融業、製造業が入った。小売業、不動産業は進ちょくが遅れ気味で、業種別の偏差値でも平均を割り込んでいた。ただ、比較的に対策が進んでいる金融業でも委託先の管理では、平均を下回るなど業種ごとに対策別の得意、不得意があることが分かる。
それでは、対策が平均以上に進んでいる上位企業と、平均、または平均以下の中位・下位企業では、対策にどのような違いがあるのか。調査によると、上位企業は81%が対策の担当役員を任命し、専門部署を設置した企業も53%ある。しかし、中位・下位企業では担当役員の任命は21%、専門部署の設置は4%にとどまっている。担当役員の任命や専門部署の設置がほかの対策の進ちょくを引っ張っているともいえる。石神氏は「対策の底上げには専門部署の設置がけん引になる」と述べた。
個人情報の現状把握でも対策の上位企業と、中位・下位企業の差が出た。電子メディアに納められた個人情報の件数、保管場所を明確に把握していると答えたのは、上位企業で91%だったが、中位・下位企業では47%だった。紙媒体の情報では中位・下位企業は31%の企業しか把握していない。しかし、上位企業でも紙媒体は75%しか把握しておらず、各部署に散在する個人情報を把握することの難しさを示している。また、データベースへアクセス可能な従業員数は上位企業の84%が把握。中位・下位企業では60%しか把握できていない。ログの保存期間では、調査をした企業全体の42%が1年以上3年未満と回答。3年以上が11%で、半永久的と答えた企業も11%いた。しかし、明確に決めていないという企業も32%あった。
個人情報の保護では情報システムの対応もポイントになる。調査によると、PCに保存した個人情報を暗号化していると答えたのは上位企業の34%、中位・下位企業で9%だった。また、パスワードの定期的な変更を実行しているのは上位企業で72%、中位・下位企業でも51%で比較的に高い値となった。ただ、個人情報の漏えい事件が発生した際にどのような対応を行うかという危機管理に対しては、上位企業の97%が定めているのに対して、中位・下位企業はわずか17%。情報漏えい保険についても上位企業の64%が加入済みか加入予定と答えているのに、中位・下位企業では23%だった。石神氏は「中位・下位企業はまだ危機感が足りない」と話した。
調査対象となった121社には過去に個人情報の漏えい事件を起こした企業も含まれている。アンケートによると漏えいを起こした企業は「再発を防止するために広範囲にわたり対策を講じている」。漏えい企業では個人情報の廃棄ルールを定めていたり、情報システムの指紋認証、ICカード認証などを備えている企業も多い。特に電子メール対策では、漏えい企業の92%が従業員の電子メールを監視・記録していると回答(漏えいしていない企業では64%)。何らかの送信制限をしている企業も44%に及ぶ(同7%)。
また、漏えい企業ではオフィスのペーパーレス化や印刷制限など紙の文書をなくすことで、個人情報の管理を容易にし、情報漏えいを防止しようとしていることも調査から分かった。漏えい企業の62%はペーパーレス化を実現。印刷制限も46%が実施している。一方、漏えいをしていない企業でペーパーレス化を行っているのは14%、印刷制限をしているのは21%だった。石神氏によると調査対象の企業の中には、データをクライアントPCに保存できない仕組みを導入しているケースもあるという。
では、なぜ対策が進まないのか。社内規定の策定や個人情報の現状は空く、社員教育など対策の基礎的な項目では、時間不足を理由に挙げる企業が多かった。情報システムの対応や物理的対応、チェック機能ではコストが問題となっている。危機管理や委託先管理などではノウハウ不足をその理由とする企業が多かった。
(@IT 垣内郁栄)
[関連リンク]
アビーム コンサルティングの発表資料(PDF)
[関連記事]
日立がハードディスクレスPCを開発、情報漏えい対策に活用 (@ITNews)
情報漏えいの原因は持ち出せること。日本HPの対策は? (@ITNews)
個人情報保護法が追い風、シトリックスの2005年 (@ITNews)
迫る個人情報保護法施行、4月までにできることは (@ITNews)
施行間近の個人情報保護法、「いまから対策しても間に合いません」 (@ITNews)
情報をお寄せください:
最新記事
|
|