笑えない「うっかり流出」個人情報保護のNG行動

2014年、世間に大きな衝撃を与えたベネッセホールディングスの個人情報流出事件を覚えておられるでしょうか？　あなたの職場の個人情報保護対策は万全か、考えてみましょう。

個人情報の流出は、ベネッセの事件のように不正アクセスに基づくものばかりではなく、実は身近な「うっかりミス」から引き起こしているケースが少なくありません。そこで今回は、意外と気づかないうちに私たちも引き起こしかねない、個人情報保護にまつわるNG行動について考えてみましょう。

私たちは普段何気なく「個人情報」という言葉を使っていますが、法律上ではどこまでを意味しているかを、まず確認しておきましょう。

「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を言います（個人情報保護法第2条1項）。

氏名はもちろんのこと、生年月日や住所、電話番号、メールアドレス、会社における職位または所属する情報について、それらと本人の氏名を組み合わせた情報は、明らかな「個人情報」に該当します。

メールアドレスだけの場合であっても、たとえば、tanaka_hanako@会社名co.jpなどのように会社名と特定の個人を識別できるようなケースは「個人情報」に該当します。こうしたアドレスは、ときどき見かけますよね？

社内で管理している、従業員の雇用管理情報も立派な「個人情報」ですし、仮に特定個人を識別できる情報が記述されていなくても、世間一般に広く知れ渡っている情報を補うことによって特定の個人を識別できる場合も「個人情報」に該当します。

このように考えると、あらゆる職場において、実に多くの個人情報が保有されていることに気づいていただけると思います。

「個人情報」のうち、特定の個人情報を検索できるように体系的に構成したものを「個人データ」といいます。たとえば、お客様の名前や年齢、購入商品などをエクセルなどに入力してデータベース化されていれば、「個人データ」を保有していることになります。

職場において、「個人データにアクセスできる立場にないから、私にはまったく関係ない」と思っていたら、それはすでに黄色信号。個人情報漏えいの原因を見ると、仕事上の「管理ミス」に次いで、「誤操作」や「紛失・置き忘れ」が約90%を占めているのです（「2012年情報セキュリティインシデントに関する調査報告書」参考）。

それでは、あなたが気づかないうちに個人情報保護に関連してNG行動をしていないか、ここでチェックしてみましょう。このような経験はありませんか？

これらは、個人情報流出の可能性を含んだ、いわばイエローカードの行動と言えます。

個人情報が記載された裏紙でファクスを送信し、それが表裏反対だったら…？ 個人情報が含まれているUSBメモリーを紛失してしまったら…？ ネットサーフィンをしていた閲覧サイトにフィッシング詐欺がしかけられていたり、ウィルスに感染したりしてしまったら…？ カフェで仕事の愚痴を話しているつもりが、個人情報を含む内容だったら…？

意外と自分でも気づかないうちに、身近に起こり得ることではないでしょうか。組織の一員として、少しでも情報流出の危険性につながる行動は慎むよう、常に意識しなければなりません。

レッドカードに該当する、実際にありがちなNG行動としては、次のようなものが挙げられます。

いかがでしょうか？ 日頃は気をつけているつもりでも、ちょっとした気のゆるみからのパソコンの誤操作など、ヒューマンエラーが原因で引き起こされる個人情報の漏えいは後を絶ちません。

最近は、個人が所有するスマートフォンから氏名や電話番号などの個人情報が読み取られるなど、企業から個人へと手口は巧妙化している傾向にあります。

大切な個人情報が一度流失してしまうと、それが拡散して大きな問題を引き起こしかねません。お客様をはじめ、利害関係者やあなたの職場にも大変な損害を与えることになります。

個人情報保護問題については、決して他人事とは思わず、高い意識を持って日頃から仕事に取り組みましょう。

[nikkei WOMAN Online 2014年8月5日付記事を基に再構成]