個人情報は適切なセキュリティのもとに保護されるべき、というのは論を待ちません。
個人情報保護法も、きちっと法を読めば「適切なセキュリティを用意してね。セキュリティポリシーは公開してね」と言っているだけであって、決して個人情報をひたすら秘匿することを求めてはいません。
……さて。いま、個人情報保護は「セキュリティを用意して」という言い方をしました。
実は、セキュリティは「外部に漏らさない」ことだけを意味しているのではありません。
セキュリティの概念は、機密性(むやみに外部に漏らさないこと)だけではありません。
「完全性」「可用性」も同様に重要な概念です。完全性とは、「個人情報が適切に整備されていること」、可用性とは「組織内で管理されている個人情報を(適切に)使いたいときに、適切に利用可能なこと」です。
極端なことを言ってしまうと、機密性ばかり気にして個人情報をひた隠しにしたら、社内で困ることが起きました、というケース。普通にありそうな話ですが、こんなケースも「個人情報保護のセキュリティが侵害されたセキュリティ侵害案件」として認識されます。つまり、「個人情報が漏れた」ことと、セキュリティ侵害としては全く同じ価値を持ちます。
個人情報をむやみに隠す、特に一体化しなければならない組織の中で個人情報を一元管理せずにむやみに「隠す」ことは、完全性や可用性の問題からセキュリティ侵害が起きている可能性が極めて高いです。
しかし、個人情報保護というと「機密性を高める」ことしか多くの人が考えず、完全性や可用性に目が向かない人が多いのは残念なことです。ましてや、個人情報保護法を盾に機密性ばかり高めることを要求するのは完全なお門違いです:完全性、可用性も重要なセキュリティです。個人情報保護法でも(現実的な範囲として、少しゆるめてありますが)完全性は明確に要求されています。
だから、個人情報保護やセキュリティは難しいのです。ガチガチに固めるだけなら簡単です。極論、個人情報を集めなければ良いのですから。
しかし、ガチガチに固めてしまっては、完全性や可用性が侵害され、適切にセキュアであるとは言えなくなります。そのような状況は、個人情報が適切に保護されているとは言いません。
個人情報やその他「保護されるべき情報」は適切に保護され、適切にマネジメントされなければなりません。
適切に保護し、マネジメントするということは、「使わない」ことではありませんし、ましてや「情報を組織内でばらばらに管理して、お互いに必要なものを提供しない」ことでは決してありません。
コメントをどうぞ