個人情報保護法の完全施行は、個人情報の漏えいによる刑事・民事上のリスクに加え、対外評価の低下というリスクに対する企業の認識を高めた。ジェトロ(伊藤美佐子氏)が発表した「個人情報保護法施行によるビジネス環境の変化」と題した特別レポートでは、個人情報保護法の概要を紹介するとともに、リスク回避のために企業が取り得る対応についてまとめている。
それによると、まず、個人情報の流出によるリスクを回避するためのための手段として、企業が十分な個人情報管理体制を整えていることを表すために、認証を取得する方法を挙げている。「プライバシーマーク」、「情報セキュリティマネジメントシステム(ISMS)」,「Trust e」、「医療健康情報認証シール」などの制度がある。目的や事業内容によって取得する認証は異なるが、客観的な評価基準として取得することは有効だ。
次に、個人情報の保有を最小限にとどめること。保有個人データは本人からの開示請求があれば開示する義務があるため、適切な情報管理、その一元化が求められる。一方で、情報管理コスト増大の懸念から、不要な個人情報については、もともと保有せず、あるいは保有したとしても早期に適切に処理することが漏えいの可能性を低下させるとの考えを示している。
以上の対応をとったとしても、個人情報の流出を免れない場合は多い。実際に個人情報の漏えいなどのトラブルが生じた場合のリスクは、その企業で構築していた安全管理措置の内容や程度及び漏えいの理由などが判断要素に含まれるものと考えられる。事業分野ごとのガイドラインの遵守、委託先に対する監督責任の遂行など、法に基づく安全管理措置の明示、実施による事前措置が被害を軽減する一助となるとしている。
法律施行からまだ3ヵ月程度であることから、各業界において、実際にどの程度の安全管理措置を導入することが妥当かという基準は明確とはいえず、ビジネスの実態に照らした今後の実務の積み重ねを待つほかない。レポートは、「企業には一層の情報管理体制強化が求められていることは間違いない」という言葉で締めている。
レポートの全文は↓
http://www.jetro.go.jp/jpn/reports/05000979