管理意識が高まる個人情報、漏えいするとどうなる?
─今回のテーマは「クラウドストレージ」です。さまざまなストレージサービスがありますが、それを企業が活用するうえでのポイントを教えてください。
徳本●ちょっとその前に中野くん、今日すごい荷物じゃない?
中野●えっ、そうですか?
徳本●鞄の中がぎっしりだよ。
中野●実はこのあと、裁判があるんですよ。
徳本●へえ、何が入っているの?
中野●裁判用の書類とPC、iPadも入っていますね。
徳本●書類が多いからこんなに鞄が重そうなんだね。裁判関係の書類って電子化できないの?
中野●裁判書面はいまだにファクスでやりとりするのが慣例なんですよ。
徳本●ファクスなんだ! ファクスなんて僕が社会人になった1985年くらいにちょうど普及してきたものだよ。もう30年前のツールをずっと使ってるわけ?
中野●そうなんですよねえ……。
徳本●それこそ電子化してクラウドストレージでやりとりすればいいじゃない。
中野●あ、そこでクラウドストレージの話につながるんですね(笑)。うーん、自分自身では使っているんですが、誰かと共有したりすることはないですね。法曹界はまだまだ紙の世界ですから。
徳本●紙類は処分できないの?
中野●5年間の保管義務があって、その期間は保管しないといけないんです。それで事務所のスペースがなくなって、倉庫を借りる弁護士も多いんですよ。
徳本●電子化して保存しちゃいけないの?
中野●それは構わないんですが、もう紙のまま保管しちゃえってなるんですよね。
徳本●ドロップボックスやエバーノートなら検索できて便利だよ。
中野●それはよくわかるんですけどね…。
徳本●個人情報はクラウドストレージにアップしちゃいけないって法律があるのかな?
中野●いえ、そういうことはないですね。個人情報でもアップロードすること自体に問題はありません。もちろん、漏えいさせるとまずいですが。
─では、漏えいの話題が出ましたので、クラウドストレージのリスク面からお話しください。企業がクラウドストレージに個人情報をアップロードしたとして、それが漏えいするとどうなるのでしょうか。
徳本●法的に罰則があるんだっけ?
中野●あります。実は昨年の9月に法改正されまして、個人情報漏えいに関する罰則はより厳しくなりました。通常2年以内に施行されますので、来年の春か、遅くても9月までには施行されるでしょう。
徳本●どんなふうに改正されたの?
中野●これまでの法律では、リスト化された個人情報が5000人未満だった場合には適用されなかったんです。ところが改正後はこれが撤廃されて、どんなに少人数でも漏えいさせると罰則が適用されることになりました。個人事業主や小さな事業者でも責任を持って管理する必要があるのです。
徳本●そういえば個人情報ってどこからなんだろう。名前とか写真もダメ?
中野●個人を特定しうる情報はすべて個人情報ですね。名前、住所、職業、メールアドレスや電話番号など、すべて個人情報になりえます。
徳本●なるほど。ということはやはり、クラウドストレージを使ううえで一番重要なことは個人情報の取り扱いといえそうだね。
中野●そのとおりですね。注意すべきは、クラウドストレージ事業者のミスで漏えいした場合でも、データを預けた側に責任が発生することです。
徳本●100%、事業者側のミスでも?
中野●そうです。というのも個人情報保護法では、「個人情報を委託する場合はきちんと監督しなさい」という規定があるんですね。しかしクラウドサービスの場合、それは難しい。特に世界的な巨大サービスだと、サーバの所在地や体制などを公開しているところは少ないです。それで監督しろと言われても無理があるのですが、監督できていない以上、預けた側の責任も問われるというわけです。
徳本●難しい問題だね。しかも漏えいさせると、社会的な信用問題にもなるよね。そういえば以前、ヤフーBBで大規模な個人情報流出があったとき(2004年)、親会社のソフトバンクがユーザ1人あたり500円を配った例があったね。
中野●あの件で、個人情報漏えい1件あたりの補償額の相場が事実上500円になりましたね。
中野●社会的信用もなくし、法的にも罰則が適用され、ユーザへの補償にも巨額の出費となると企業にとっては致命的なダメージになるね。それくらい個人情報の漏えいには気をつけないといけないってことか。
最低限の監督義務としては利用規約を確認しておこう
─とはいえ、事業者がミスをするかどうかまではわかりませんよね。
徳本●世界的な企業であるドロップボックスなら大丈夫…と思っていたら、先日大規模な流出事件があったしね。もうどこを信用していいのやら(笑)。
中野●それでも、少しでも信頼できるサービスを選ぶしかないと思いますね。というのは、もし情報が流出して監督責任を問われた場合、「なぜそのサービスを選んだのか」という理由をはっきり示せることが重要だからです。
徳本●「セキュリティがしっかりしているから選びました」と言えることが大事ということ?
中野●まさにそのとおりです。規約にこう書いてあったからとか、過去に流出がなかったからとか、セキュリティ面でこういう機能を持っていたからとか、「そのサービスを選んだ理由」を言える体制を作っておくことが重要です。
徳本●つまり、規約をしっかり読んでおけと。
中野●つい見過ごしがちですが、規約は読んでおくべきでしょうね。
─事業者のミス以外にも、従業員のミスなどによる内部からの流出の危険性もありませんか?
徳本●ああ、よくあるよね。
中野●実は個人情報の流出って、事業者のミスよりも使う側のヒューマンエラーのほうが圧倒的に多いんです。データの入ったデバイスを置き忘れたとか、メールを誤送信してしまったとか。
徳本●これに関しては社員のセキュリティ意識をしっかり教育して高めることと、外に持ち出すデバイスにパスワードをかけておくということしか対策はないんじゃないかな。
中野●そう思います。デバイスにパスワードをかけること、クラウドストレージなどのサービス自体にもパスワードをかけること、逆にパスワードをデバイスに保存しておかないことなどが大事ですね。
徳本●あとは、会社としてどのクラウドサービスを使うをかちゃんと決めておくことじゃないかな。便利だから、会社として禁止していても使っちゃう社員とかいるじゃない。
中野●確かにそういう話はよく聞きます。
徳本●それはこっそり使っているわけだから、もし社員が漏えいしたときに会社が監督していたとはいえなくなってしまうよね。
中野●そのとおりです。
徳本●ってことは、会社としてクラウドストレージ事業者と法人契約を結ぶべきなのかな? 無料版を社員個人に使わせるよりも、セキュリティに気を遣っていると言いやすいんじゃないかな。
中野●うーん、どうでしょう。法人契約をしてセキュリティが高まるならいいのですが、無料版でもセキュリティが弱いわけではないですよね。どちらもセキュリティ面で変わらないのであれば、法人契約にこだわることはないと思います。
徳本●重要なのは、ちゃんと社員研修なりをやって管理していましたと言えること?
中野●そうですね。もし個人契約であっても、会社として面倒を見ていたんだと言えればいいと思います。
─クラウドストレージ導入のリスクと対策についてお話いただきましたが、こういったリスクをとってでもクラウドストレージを活用するだけのメリットがあるわけですよね。
徳本●そりゃあもう! なんといっても鞄が軽くなる。
中野●(笑)。
徳本●会社にとって事務所のスペースって重要なんですよ。だって紙類を置くスペースにも家賃を払っているわけですからね。
─ちなみにお二人が使われているサービスは?
徳本●僕はクライアントとのやりとりでドロップボックスとグーグルドライブを使ってる。相手によって使い分けている感じかな。あとはメールを使わないといけない場合に宅ふぁいる便。自分用のストレージとしてはGメールを使ってるかな。
中野●自分に宛ててメールを送るやり方ですか?
徳本●そう、あとで何度も使うファイルに関してはGメールで送っておくと日付順に並べることもできて便利なんだよね。中野くんは?
中野●実は僕もGメールを同じように使っています。それからドロップボックスも自分用に使っていますね。ほかの人との共有はしていませんが。
徳本●やっぱり便利なんだよね、クラウドストレージは。紙類もなくせて事務所も広がるし、検索であとから探すのも簡単。今日話し合ったリスク対策をとってでも使う価値はあると思いますよ。
[みらいチャレンジ] 長年の広告会社勤務でマーケティング畑を歩んできた徳本昌大氏と、IT企業に特化した弁護士・中野秀俊氏が2016年4月に設立。企業経営にまつわるさまざまな課題をノンストップで解決し、「みらい」に「チャレンジ」する起業家・経営者を増やすのが同社のミッションだ。【URL】http://mirai-challenge.com