« 米国:自国の原発の安全性についても不安の声が高まる | トップページ | 東電と原子力安全委員会は,福島原発の脆弱性に関する警告を無視していた »

2011年3月25日 (金曜日)

プライバシーポリシーの根本的な見直しが必要

今回の大震災の被災地には,瓦礫の中に無数の個人情報が埋もれている。

管理者が亡くなってしまった組織は数え切れないほど多数あるだろう。岩手県大槌町では,町長以下職員が大勢亡くなり,町役場もぼろぼろの残骸になってしまった。

個人情報のかたまりである病院関係や銀行関係や警察関係や裁判所関係の組織においても,個人情報を含む書類等が瓦礫の一部になってしまっているところが多数あるだろう。

福島原発の近くでは状況確認のために近づくこともできない。書類は既に汚染されているだろうし,余りにも危険すぎる。

そのような場所では,マネジメントの管理主体が物理的に存在しないまたは,組織の構成員が残存していても組織として機能し得ないので,いかなるポリシーも適用され得ない。

そのようにして,すでに破壊された被災地では,個人情報が野ざらし状態であり,これはもうどうにも回復しようがないし,保護しようもない。諦めるしかない。このような事態について,個人情報保護法は全く無力だ。なにしろ,保有個人データを管理する主体となるべき個人情報取扱事業者が崩壊してしまっている。

個人情報保護法に限らず,一般に,平時だけを想定し,戦時を想定しない法制というものは常にこのようなものだ。

しかし,私見である「戦時と平時が常に共存する状況」を前提にすると,それではいけないということになる。

だから,私は,現行の個人情報保護法を批判し続けてきた。

さて,一般に,マネジメント主体が消滅した場合,どのように立派なマネジメントシステム(事業継続計画や危機管理マネジメントを含む。)も全く機能しなくなる。

そうなってしまう場合を想定したマネジメントが必要だ。

現在被災していない(または決定的な打撃となる程度までは被災していない)組織においては,マネジメントの根本的な見直しが必要だ。しかも,大至急。

想定すべき事態は,リソースの大半または全部を利用することができなくなってしまうような場合であり,そのような場合であっても保護を貫徹できるようにしなければならない。このような事態としては,大地震や大津波による被災だけではなく,利用しているパブリッククラウドやデータセンター等の被災,破産,業務停止などの場合が含まれる。

現代の電子技術を駆使すれば,電子的に処理される個人データについて,緊急時には自動的にブロックしてしまい,権限のある者が回復の措置を講じないと誰も利用できなくなってしまうようにすることは可能と思われる。暗号技術の応用によることも可能だ。

電子的な記録を外部記録(パブリッククラウドや外部データセンター)に依存しているところでは,当該外部記録の安全性(バックアップの仕組み等)を再調査し,もし懸念があるのであれば,契約先の切り替えをする必要がある。その場合に考慮しなければならないのは,物理的にどの場所にバックアップ用の記録装置が所在しており,復旧のためにどれくらいの時間を要するかなどの事項ということになるだろう。なお,装置自体が容易に復旧可能なものであったとしても,放射線汚染の可能性のある場合には作業員が物理的にアクセスできないし,また,停電や通信回線の途絶によりリモートによる回復が基本的には全く不可能になるということを理解しておくことが重要だ。原則として,すべて手作業でやらなければならない。

他方,非電子的な記録については,やはり,伝統的な重い耐火金庫を用いるのが良いと思われる。これなら火災でも記録が損傷を受けることはなく,火事場泥棒が盗むことも難しい。そして,電気がなくても記録を回復・回収することができる。

このブログではしばしば書いていることなのだが,自分が永年築き上げてきたものが全て崩壊するという事態を想定しなければならない。それは予見可能なことであり,予見しようとしないのは単なる怠惰か無能の一種に過ぎない。

企業を含め,全ての組織は,「自分は無事でよかった」と安心して終わりにしてはならない。そうではなく,自分の組織が物理的に所在している場所において,もし直下型の大地震が発生したり,10メートル以上クラスの大津波が襲来したとしても,組織が健全に維持され,仮に被災しても合理的期間内に復活するための効果的な方策を真面目に考えるべきだと思う。

真の危機管理は,組織が崩壊し,何もなくなってしまったところから始まる。

組織が機能している状態での危機管理は,真の意味での危機管理ではなく,いわば常務のようなものだ。

以上のような理解を前提に,どうやっても個人情報を保護しようがない事態が発生した場合の対処も考えておかなければならない。

立法論としては,個人情報保護法に直罰的な条項を盛り込むことが必要だ。

このような意見に対して,特定のイデオロギーに凝り固まった人々は反対するに違いない。

しかし,それは,平時しか想定していないという極めて偏った思考に由来するものであり,世界の現実を正しく直視していないことの結果だろうと思っている。


[このブログ内の関連記事]

 地震の概念を変更したほうが理解しやすいかもしれない
 http://cyberlaw.cocolog-nifty.com/blog/2011/03/post-d496.html

 プレート理論だけで全部説明したことにしようとすると間違うのではないか
 http://cyberlaw.cocolog-nifty.com/blog/2011/03/post-6d9b.html

|

« 米国:自国の原発の安全性についても不安の声が高まる | トップページ | 東電と原子力安全委員会は,福島原発の脆弱性に関する警告を無視していた »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« 米国:自国の原発の安全性についても不安の声が高まる | トップページ | 東電と原子力安全委員会は,福島原発の脆弱性に関する警告を無視していた »