個人情報とビジネスリスク

皆さんが属する会社や組織の中で、いったいどれだけの個人情報が取り扱われているかご存知でしょうか？そのように問われて明確に答えられる方はほとんどいないのでしょうか。
その理由はいくつか考えられます。例えば、何をもって個人情報とするかによっても、取り扱う個人情報の量が変わります。大会社や大規模な組織になると、規模の大きさや複雑さから、取り扱うデータの量が一人ひとりのキャパシティを遥かに超えるものになっているでしょう。これまで個人データ保護のコンサルティングに従事した経験では、会社や組織が取り扱う個人情報の量は、その従業員やメンバーが想像するよりはるかに大きいものになっています。

なぜ会社や組織はそれだけ多くの個人情報を持っているのでしょうか。その理由は個人情報の処理目的によって異なります。
会社であれば、まず重要なのは従業員の管理です。従業員という「ヒト」を管理する上では、氏名、住所、連絡先といった個人情報は会社にとって必要不可欠です。会社が管理しなければいけないのは、従業員の他にも顧客や取引先などがあり、それぞれに個人情報が紐ついてきます。

日本ではこれまで、個人情報の取り扱いについては比較的寛容な社会でした。学校の緊急連絡網や会社の社員リストには、個人の住所や電話番号が明記され、それらが関係者に広く共有されていました。また、個人情報はいわば「取ったもの勝ち」の情報であり、いわゆる「名簿屋」が社会問題になったこともありました。
しかし、社会の情報化が進み、インターネットやSNSの急速な普及もあって、個人情報を使った重大犯罪や不正行為の発生が顕著になり、それが私たちの個人生活を脅かすようになってきました。2003年には個人情報保護法が施行され、JIS Q15000等に準拠した個人情報の取り扱いを認証するプライバシーマーク制度が普及したこともあいまって、個人情報保護の社会的な仕組みが徐々に整ってきました。

しかし現代では、世界の個人情報保護の動きがさらに進み、それがビジネスリスクとして大きな影響を与えるようになってきました。そのことについては、次回のノートで説明します。