国立市への個人情報の買い取り要求事件から考えてみた

 もうネット上には記事がほとんど残っていないけど、小学校から教諭の私物のUSBのメモリーがなくなり、それを400万円で買い取ることを要求する手紙が来るという事件が発生。
児童情報の買い取り要求 東京・国立市の市教委に (共同通信)
 東京都国立市立国立第2小学校で、今春卒業した児童33人の成績などが記録されたUSBメモリーがなくなり、400万円で買い取りを要求する手紙が同市教育委員会に届いていたことが13日分かった。市教委は近く警視庁に被害届を出す予定。市教委によると、なくなったUSBメモリーは40代の男性教諭の私物で、教諭が担任していた児童の成績と、新3年生のクラス分け表が記録されていた。[ 2008年5月13日11時23分 ]
http://news.www.infoseek.co.jp/society/story/13kyodo2008051301000257/

 私物のUSBのメモリーに個人情報を記録し、400万円を要求する手紙が来るまで紛失に気がつかなかったというのは、お粗末としか言いようがない。で、お粗末としか言いようがない、とだけ言っているだけではすまないのが、私の立場。なぜなら、国立市情報公開・個人情報保護運営審議会委員だから。28日に審議会が開かれたので、教育委員会から事情や対応、今後の対策などについて聴取して、今後の対応について協議した。

 こういう事件が起こると、セキュリティの強化徹底、適正な個人情報の取扱いについての周知徹底などが行われる。これはこれで必要だけど、セキュリティや個人情報保護の必要性は頭で理解しつつも、それが実行されないところに問題が起こるので、単なる強化や徹底では実は本当の意味での再発防止にはならないのではないかと思っている。確かに、セキュリティを技術的に強化することは必要。悪意のある個人情報へのアクセスを防止し、ヒューマンエラーの発生を予防し、あるいは発生した場合の防御になるから。でも、問題はそれ以前のところでも多く発生する。

 たとえば、今回の事件の舞台となった小学校ではどこもそうだと思うが、教員はパソコンを使って教材を作成し、あるいは子どもたちの個人情報の管理等を行うことが多いが、一人一台のパソコンは貸与されていない。しかも、勤務時間外に仕事を行うことも多い。要は、仕事の仕方、仕事をするうえで与えられている環境など、はっきり言ってハイリスクな職場だ。そういうところで、抽象的にセキュリティや個人情報保護を言っても、当然頭では分かっているということになる。一方で、セキュリティを形式的に強化していけば、場合によっては業務に支障をきたし、あるいは支障をきたせばまた裏をかいたイレギュラーな業務遂行を招き、リスク要因を新たに作ることもあり得る。

 そうすると、実際の仕事の内容と実施方法、なぜそのように実施しているのか、そこでどのようなリスクがありそれにどのような対応する必要があるのか、という実際に人がどう仕事をしているのか、というところからリスク要因を検討し、それに対する対策を考えていかないと、制度や仕組みが整っても、人の行動が伴わないのではないかと思っている。個人情報保護の問題に結構長いことかかわっているが、よりよい制度を作る必要性を感じると共に、制度により動くのは人であることを考えるならば、業務を行う人が頭で理解をしている個人情報保護を行動に落とし込んでいく作業がなければ、結局はあまり状況が変わっていないということになることも長いこと感じてきた。そして、最近特に、セキュリティの強化や個人情報保護に関する規制強化という流れだけでなく、セキュリティや個人情報保護の確実性をどう上げるのか、についての建設的な、かつ具体的な議論がもっと必要なのではないかと考えている。

 そんなことを考えていたら、国立市で事件が発生。ここのところ、先週、珍しく住基ネットに関する5000字ほどの原稿を書き、27日は志木市で個人情報保護についての研修の講師、28日は国立市で審議会と、なんだか個人情報保護についていろいろ考える機会が多かったもので、とりあえず更新してみた。30日は、職場の代休を取って、29日に事情があってドタキャンしてしまった取材の対応と会議1件、そして四街道市市民参加推進評価委員会の会議。たぶん30日は、情報公開な日になる。
[PR]
by clearinghouse | 2008-05-30 01:39