中小企業の情報セキュリティ対策が十分でない場合の行政監督
下記の記事を読んだ。
費用が…中小企業、甘いネット対策 合格わずか3割
産経ニュース: 2010.8.17
http://sankei.jp.msn.com/science/science/100817/scn1008171217002-n1.htm
IPAの指摘に基づく記事であり,記事それ自体の内容に関しては,特に意見はない。
一般に,社会全体での情報セキュリティという観点からみた場合,中小企業における情報セキュリティが欠如または不完全であると,社会全体の中に巨大なセキュリティホールがあるのと同じことになる。このことは,大企業であっても,在宅勤務等で個人所有のPCを利用して仕事をしている者の情報セキュリティが十分でない場合などには同じだ。
ところで,大企業が個人情報取扱事業者である場合,そのデータ処理等を委託する先の中小企業が個人情報取扱事業者である場合でもそうでない場合でも,当該委託者である個人情報取扱事業者は,「その取扱いを委託された個人データの安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行わなければならない」と義務付けられている(個人情報保護法22条)。そして,この義務違反があるときは,主務大臣による行政監督を受け,その行政監督に従わない場合には罰則もある。
このように,法文は明確なのだが,現実の実態ははなはだ不明確だといわざるを得ない。
情報産業の中での中小企業の多くは,大企業からの下請仕事としてデータ処理等の業務に従事しているのだが,そこで本当に「必要かつ適切な監督」が行われているかどうかがはっきりしないのだ。そもそも,大企業であっても,自社の業務と関連する個人情報の取扱いについての主務大臣がどの国務大臣であるのかを知らないところさえあるといわれており,問題は深刻だ。
さらに深刻な問題として,個人情報保護法における主務大臣が,自己の所管する業種等について全く認識をもっていないことがあること,そして,そのような認識の有無にかかわらず,個人情報取扱事業者が個人情報保護法に定める義務を履行しているかどうかをきちんと把握していないということだ。これでは行政監督もできるがはずがない。政争にあけくれ,社会科見学でもあるまいしあちこと現地視察等をしたり,テレビ出演をしたりする前に,主務大臣は,過労死するくらいにやらなければならない仕事がいっぱいあるはずだ。そして,このことは,個人情報保護条例との関係では,自治体の首長でも全く同じであるはずだ。
このような次第なので,結局,いくら情報セキュリティの重要性を力説してもほとんどのれんに腕押し状態になってしまうのは当然の帰結といえる。
日本には「情報セキュリティ法」なるものはないが,上記の個人情報保護法における主務大臣の行政監督が適切になされていれば,個人情報取扱事業者の義務も適切に履行され,それを通じて,委託先である中小企業における安全対策も向上するのではないかと思われるのだが,現実にはそうではない。
私は,法理論上では現行の個人情報保護法には賛成していない。しかし,法は法であり,法としての強制力があるから,現時点では個人情報保護法に定める義務に従わなければならない。
上記のような現状を知るにつけ,「画餅」という言葉がやけに現実味をもった実体として目の前に現れてくるように感じてならない。
| 固定リンク
« WTO:EUの関税賦課は「関税及び貿易に関する一般協定」の第2条(関税譲許)に違反するとの報告書 | トップページ | 米国:情報セキュリティの確保のために,政府と民間との協力関係が必要との意見 »
コメント