事業拡大のためのセキュリティ投資［第1回/全4回］

ITコーディネータ協会 小澤 富士男氏

　「個人情報保護法」が完全施行された今、今まで猶予されてきた義務と罰則が完全に適用されることとなった。法律である限りにおいて、「知らなかった」では許されない。

　果たして現場ではどのような対策が取られたのであろうか。個人情報コンサルタントの多くが指導していたのは、「不要な個人情報はリスクでありコストである。捨てなさい。」であった。それによりかなり身軽になった会社もあるのではないだろうか。しかし、個人情報保護法の主旨をもう一度考えてみると、「個人情報を正しく取り扱うことにより、個人の利便性を高めつつ、個人の利益を守る。」ことであったはず。勢いだけで捨ててしまったとしたら、今後、同じ情報を得るには、10倍ぐらいのコストを覚悟しなければならない。

　ネット社会において、個人情報は大きな価値を持っている。ネット社会では顔を見たこともないお得意様と繋がっているのは、唯一、個人情報だけなのである。

　個人情報保護法完全施行にあたって、個人情報を正しく管理し利用することが、これから益々拡大するネット社会において、大きなビジネスチャンスであることを、強く訴えたい。




　個人情報を積極的に使ってビジネスを行う場合、しっかり押えておかなければならないのは、どのようなリスクがあるかということと、そのリスクはどのくらいの脅威（＝価値）であるのかということである。リスクを明確にすることにより、初めて手を打つことができるのである。また、そのリスクの脅威（=価値）を算出することにより、どのくらいのコストでその情報を守るかというガイドラインができるのである。たとえば、10年前の名簿を1千万円もする金庫に入れる人はいないのではないだろうか。

　さらにいえば、リスクをゼロにすることが目標ではなく、リスクを許容範囲に押さえ込むことが重要なのである。リスクの対応には、「リスク管理策の採用」、「リスクの保有」、「リスクの回避」、「リスクの移転」がある。明らかになったリスクが許容範囲内であれば、コストのかかる「リスク管理策の採用」（さらにリスクを減らす対策を実施する）ではなく、「リスクの保有」を選ぶことができる。

　許容範囲外のリスクについては、「リスク管理策の採用」を選ぶべきであるが、「リスクの回避」や「リスクの移転」も検討するべきである。例えば、その業務をアウトソーシングしてしまうことにより、自社でリスクを抱えなくてすむこともある。