付 録
個人情報保護対策の現状に関する調査
報告書
平成17年2月21日
株式会社三菱総合研究所
目 次
序章 調査の概要 ... 1 0.1 調査目的 ... 1 0.2 調査フロー ... 2 第1章 個人情報保護に関する社会的動向 ... 3 1.1 個人情報保護に関する法律やガイドラインの制定状況 ... 3 1.2 主な個人情報漏洩事件 ... 11 1.3 各業界における個人情報保護対策の方向性 ... 13 1.4 個人情報保護ビジネスの動向 ... 17 第2章 企業における個人情報保護の現状と課題に関する調査 ... 18 2.1 アンケート実施方針 ... 18 2.2 アンケート分析結果 ... 20 第3章 個人情報保護対策製品・サービスへのニーズ ... 42 3.1 ヒアリング調査結果 ... 42 3.2 ヒアリング調査のまとめ ... 43 第4章 結論 ... 54 4.1 個人情報保護対策技術マップ ... 54 4.2 個人情報保護対策事業におけるビジネスチャンス ... 56 「企業における個人情報保護対策の現状に関する調査」アンケート調査票 ... ⅰ序 章
調査の概要
0.1 調査目的 個人情報保護法が成立し、いよいよ2005 年 4 月に全面施行となる。企業や行政におい ては、これまで以上に個人情報保護対策の推進が求められるが、近年は大規模な個人情報 漏洩事件が後を絶たない。これらの事件は社会的にも大きく採り上げられており、消費者 の個人情報に対する意識も高まっている。 企業や行政、あるいは医療機関等において個人情報を適切に管理し扱うことは、企業・ 団体が本来の機能を果たし、ビジネスや業務を遂行するために欠かせない事項となってい る。一方、2004 年 3 月の企業に対する調査では、個人情報保護についての取り組みが「特 になし」との企業が3 割近くに達し、多くの企業における個人情報保護対策の遅れが目立 っている。本年度は、法の施行を目前に控え、省庁や関連団体からのガイドラインや指針 等の発表も相次いでおり、個人情報保護に関する具体的な対策が急速に進展するものと予 想される。そのため、JEITA 会員企業にとっても、これら企業、行政等からの要望に的 確に応えることが重要となる。 そこで、本年度調査においては、企業や行政の個人情報保護対策に対するニーズを把握 し、個人情報保護法施行後のユーザの多様なニーズに応えるためのビジネス戦略を策定す ることを目的とする。 図表0−1 企業の個人情報保護についての取り組み 43.8% 40.4% 31.3% 23.4% 13.1% 11.9% 0.8% 26.9% 8.3% 0% 20% 40% 60% プライバシーポリシーの策定 情報システムや管理体制の再構築 個人情報保護管理責任者の設置 必要な個人情報の絞り込み プライバシーマークの取得 外注先選定要件の強化 その他 特になし わからない (N=505) 資料:三菱総合研究所 「第1回企業の個人情報と情報セキュリティ対策に関する調査」(2004 年 3 月)0.2 調査フロー 調査の流れは、以下のフロー(図表0−2)の通りとする。 (1)個人情報保護に関する事件等の社会的な動向、国の施策等を文献調査により整理 する。 (2)各ベンダやセキュリティ事業者が提供する個人情報保護ビジネスに関する動向を 調査する。 (3)個人情報を扱う企業等に対してヒアリング調査・アンケートを実施し、個人情報 の保有状況、個人情報保護に対する取り組みと現状、課題、今後の意向について 調査する。 (4)個人情報保護対策に関する技術マップを作成する。 (5)企業等における個人情報保護対策に関する課題を検討する。 (6)上記により把握された企業等における個人情報保護対策における課題より、今後 の個人情報保護対策推進に向けた社会的課題の検討を行う。 (7)また、JEITA 会員企業として社会的に求められ、かつ他事業者との差別化が図れ るような個人情報保護ビジネス展開の方向性を探る。 図表0−2 本調査のフロー (3)企業等の 個人情報保護対策の 現状に関する調査 (3)企業等の 個人情報保護対策の 現状に関する調査 (5)企業等 における 個人情報保護 対策に関する 課題の検討 (5)企業等 における 個人情報保護 対策に関する 課題の検討 (6)今後の 個人情報保護 対策推進に向けた 社会的課題 の検討 (6)今後の 個人情報保護 対策推進に向けた 社会的課題 の検討 (7)JEITA会員 企業に対する 個人情報保護 ビジネス展開上 の提言 (7)JEITA会員 企業に対する 個人情報保護 ビジネス展開上 の提言 ヒアリング調査 (1)個人情報 保護に関する 社会的動向の 調査 (法律・ガイドライン等) (1)個人情報 保護に関する 社会的動向の 調査 (法律・ガイドライン等) 文献調査 郵送アンケート調査 (4)個人情報保護対策 に関する 技術マップの作成 (4)個人情報保護対策 に関する 技術マップの作成 (2)個人情報保護 ビジネスに関する 動向調査 (2)個人情報保護 ビジネスに関する 動向調査 文献調査
第 1 章
個人情報保護に関する社会的動向
1.1 個人情報保護に関する法律やガイドラインの制定状況 調査に先立ち、個人情報保護に関連する事件等の社会的な動向、国の施策等を整理する。 まず、個人情報保護に関する法律やガイドラインの制定状況についは以下の通りとなって いる。 図表1−1 中央省庁における個人情報保護ガイドラインの制定状況 ○中央省庁 (平成17 年 2 月 9 日時点) 分野 所管 省庁 現行の ガイドライン 検討の手段 これまでの 検討状況 検討の結果、 今後のスケジュール 医 療 医 療 一 般 厚生 労働省 診 療 情 報 の 提 供 等に関する指針 (平成15 年 9 月) 「 医 療 機 関 等 に お け る 個 人 情 報 保 護 の あ り 方 に 関する検討会」を 開催して検討 ○検討会の開催 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施) (10 月 29 日∼11 月30 日) ○ガイドラインの策定 「医療・介護関係事業者におけ る個人情報の適切な取扱いのた めのガイドライン」(12 月 24 日) 健康保険組合等における個人 情報の適切な取扱いのためのガ イドライン(12 月 27 日) ○法制上の措置の要否について 一定の結論を得る(年内)分野 所管 省庁 現行の ガイドライン 検討の手段 これまでの 検討状況 検討の結果、 今後のスケジュール 医 療 研 究 文部 科学省 厚生 労働省 経済 産業省 ・ヒトゲノム・遺 伝 子 解 析 研 究 に 関する倫理指針 (平成13 年 3 月) ・遺伝子治療臨床 研 究 に 関 す る 指 針(平成 14 年 3 月) ・疫学研究に関す る倫理指針(平成 14 年 6 月) ・臨床研究に関す る倫理指針(平成 15 年 7 月) 以 下 の 委 員 会 が 必 要 に 応 じ て 合 同で検討 ・(文部科学省) 科学技術・学術審 議会 生命倫理・安全 部 会 ラ イ フ サ イ エ ン ス 研 究 に お け る ヒ ト 遺 伝 情 報 の 取 扱 い 等 に 関する小委員会 ・(厚生労働省) 厚 生 科 学 審 議 会 科学技術部会 医 学 研 究 に お け る 個 人 情 報 の 取 扱 い の 在 り 方 に 関 す る 専 門 委 員会 ・(経済産業省) 産業構造審議会 化 学 バ イ オ 部 会 個 人 遺 伝 情 報 保護小委員会 ○委員会の開催 ○ 現 行 指 針 の 見 直し案の公表(パ ブ リ ッ ク コ メ ン トの実施) (10 月 22 日∼11 月19 日 ヒトゲ ノム・遺伝子解析 研 究 に 関 す る 倫 理指針) (10 月 29 日∼11 月19 日 その他 の現行指針) ○委員会の開催 ・3 小委員会合同開催 ○現行指針の改訂(告示) ヒトゲノム・遺伝子解析研究 に関する倫理指針(12 月 28 日全 部改正) 遺伝子治療臨床研究に関する 指針(12 月 28 日全部改正) 疫 学 研 究 に 関 す る 倫 理 指 針 (12 月 28 日全部改正) 臨 床 研 究 に 関 す る 倫 理 指 針 (12 月 28 日全部改正) ○法制上の措置の要否について 一定の結論を得る(年内) 金 融 金融庁 − 「 金 融 審 議 会 金 融 分 科 会 特 別 部 会」を開催して検 討 ○審議会の開催 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(10 月 1 日 ∼10 月 29 日) ○ガイドラインの策定(告示) (12 月 6 日) 「金融分野における個人情報保 護に関するガイドライン」 ○法制上の措置の要否について 一定の結論を得る(年内) 金 融 ・ 信 用 信 用 経済 産業省 − 「 産 業 構 造 審 議 会 割 賦 販 売 分 科 会 個 人 信 用 情 報 小委員会」を開催 して検討 ○審議会の開催 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(10 月 1 日 ∼10 月 29 日) ○ガイドラインの策定(告示) (12 月 17 日) 「経済産業分野のうち信用分野 における個人情報保護ガイドラ イン」 ○法制上の措置の要否について 一定の結論を得る(年内)
分野 所管 省庁 現行の ガイドライン 検討の手段 これまでの 検討状況 検討の結果、 今後のスケジュール 電 気 通 信 総務省 電 気 通 信事業 に お け る 個 人 情 報 保 護 に 関 す る ガ イドライン(平成 10 年 12 月) 「 電 気 通 信 事 業 分 野 に お け る プ ラ イ バ シ ー 情 報 に関する懇談会」 を開催して検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(6 月 28 日 ∼7 月 27 日) ○ガイドラインの改訂(告示) (8 月 31 日) 「電気通信事業における個人情 報保護に関するガイドライン」 ○法制上の措置の要否について 一定の結論を得る(年内) 情 報 通 信 放 送 総務省 ・放送における視 聴 者 の 加 入 者 個 人 情 報 の 保 護 に 関 す る ガ イ ド ラ イン(平成8 年 9 月) ・通信衛星による デ ジ タ ル 放 送 に 係 る 有 料 放 送 役 務 標 準 契 約 約 款 (平成9 年 11 月) ・衛星放送におけ る プ ラ ッ ト フ ォ ー ム 事 業 者 の 業 務 に 係 る ガ イ ド ラ イ ン に 関 す る 指針(平成15 年 4 月) 「 放 送 分 野 に お け る 個 人 情 報 保 護 及 び I T 時 代 の 衛 星 放 送 に 関 する検討会」を開 催して検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(7 月 2 日 ∼7 月 30 日) ○ガイドラインの策定(告示) (8 月 31 日) 「放送受信者等の個人情報の保 護に関する指針」 ○法制上の措置の要否について 一定の結論を得る(年内) 事業 全般 経済 産業省 民 間 部 門 に お け る 電 子 計 算 機 処 理 に 係 る 個 人 情 報 の 保 護 に 関 す るガイドライン (平成9 年 3 月) 「 ガ イ ド ラ イ ン 検討委員会」の意 見を聴取しつつ、 経 済 産 業 省 が 作 成 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(6 月 15 日 ∼7 月 14 日) ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(10 月 25 日∼11 月 19 日 経 済 産 業 分 野 の う ち 個 人 遺 伝 情 報 を 用 い た 事 業 分 野 に お け る 個 人 情 報 保 護 ガ イ ドライン) ○ガイドラインの策定(告示) (10 月 22 日)「個人情報の保護 に関する法律についての経済産 業分野を対象とするガイドライ ン」 ※説明会により業界団体へ周知 徹底 ○ガイドラインの策定(告示) (12 月 17 日) 「経済産業分野のうち個人遺伝 情報を用いた事業分野における 個人情報保護ガイドライン」
分野 所管 省庁 現行の ガイドライン 検討の手段 これまでの 検討状況 検討の結果、 今後のスケジュール 一 般 厚生 労働省 労 働 者 の 個 人 情 報 保 護 に 関 す る 行 動 指 針 ( 平 成 12 年 12 月) 内部で検討 雇 用 管 理 の う ち 健 康 情 報 に つ い ては、「労働者の 健 康 情 報 の 保 護 に関する検討会」 を開催して検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施) (6 月 15 日∼6 月29 日) ○ 健 康 情 報 に 関 す る 留 意 事 項 の 概要の公表(パブ リ ッ ク コ メ ン ト の実施) (10 月 15 日∼10 月28 日) ○ガイドラインの策定(告示) (7 月 1 日) 「雇用管理に関する個人情報の 適正な取扱いを確保するために 事業者が講ずべき措置に関する 指針」※パンフレットの作成 ○健康情報に関する留意事項※ の策定(局長通達)(10 月 29 日) 「雇用管理に関する個人情報の うち健康情報を取り扱うに当た っての留意事項」 ※雇用管理における健康情報の 取扱いについての留意事項をま とめたもの 雇 用 管 理 船 員 国土 交通省 関 係 労 使 の 団 体 と 協 議 を 行 い な がら内部で検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施) (8 月 10 日∼8 月23 日) ○ガイドラインの策定(告示) (9 月 29 日)「船員の雇用管理に 関する個人情報の適正な取扱い を確保するために事業者が講ず べき措置に関する指針」 ※パンフレットの作成 警察 警察庁 − 内部で検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(9 月 17 日 ∼10 月 7 日) ○ガイドラインの策定(告示) (10 月 29 日)「国家公安委員会 が所管する事業を行う者等が講 ずべき個人情報の保護のための 措置に関する指針」 ※事業者団体を通じた周知徹底 法務 法務省 − 内部で検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(9 月 29 日 ∼10 月 20 日) ○ガイドラインの策定(告示) (10 月 29 日)「法務省が所管す る分野における事業者等が取り 扱う個人情報の保護に関するガ イドライン」 ※事業者団体を通じた周知徹底 ○債権管理回収業分野ガイドラ イン案の公表(パブリックコメ ントの実施)(11 月上旬∼11 月 末) 同ガイドラインの策定(12 月中) 財務 財務省 − ・各省庁が策定し て い る ガ イ ド ラ イ ン を 参 考 に し つつ、事業者団体 の 協 力 を 得 な が ら、内部で検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(9 月 30 日 ∼10 月 29 日) ○ガイドラインの策定(告示) (11 月 25 日) 「財務省所管分野における事業 者が講ずべき個人情報の保護に 関する指針」
分野 所管 省庁 現行の ガイドライン 検討の手段 これまでの 検討状況 検討の結果、 今後のスケジュール 教育 文部 科学省 − 内部で検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(10 月 25 日∼11 月 4 日) ○ガイドラインの策定(告示) (11 月 11 日) 「学校における生徒等に関する 個人情報の適正な取扱いを確保 するために事業者が講ずべき措 置に関する指針」 ※事業者等に対し通知を発出 福祉 厚生 労働省 − 内部で検討 ○ 全 国 社 会 福 祉 協 議 会 と の 打 ち 合わせ ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(9 月 30 日 ∼10 月 15 日) ○ガイドラインの策定(11 月 30 日)「福祉関係事業者における個 人情報の適正な取扱いのための ガイドライン」 職業 紹介等 厚生 労働省 ・ 職 業 紹 介 事 業 者、労働者の募集 を行う者、募集受 託者、労働者供給 事 業 者 等 が 均 等 待遇、労働条件等 の明示、求職者等 の 個 人 情 報 の 取 扱い、職業紹介事 業者の責務、募集 内 容 の 的 確 な 表 示 等 に 関 し て 適 切 に 対 処 す る た め の 指 針 ( 平 成 11 年) 「 労 働 政 策 審 議 会 労 働 力 需 給 制 度部会」において 検討 ○審議会の開催 9 月 30 日 現行 指 針 の 改 定 案 の 決定 ○ 現 行 指 針 の 改 定案の公表(パブ リ ッ ク コ メ ン ト の実施) (10 月 1 日∼10 月22 日) ○現行指針の改定(告示)(11 月 4 日) 「職業紹介事業者、労働者の募 集を行う者、募集受託者、労働 者供給事業者等が均等待遇、労 働条件等の明示、求職者等の個 人情報の取扱い、職業紹介事業 者の責務、募集内容の的確な表 示等に関して適切に対処するた め の 指 針 の 一 部 を 改 正 す る 告 示」 ※事業主団体を通じた周知徹底 労働者 派遣 厚生 労働省 ・派遣元事業主が 講 ず べ き 措 置 に 関する指針(平成 11 年) 「 労 働 政 策 審 議 会 労 働 力 需 給 制 度部会」において 検討 ○審議会の開催 9 月 30 日 現行 指 針 の 改 定 案 の 決定 ○ 現 行 指 針 の 改 定案の公表(パブ リ ッ ク コ メ ン ト の実施)(10 月 1 日∼10 月 22 日) ○現行指針の改定(告示)(11 月 4 日) 「派遣元事業主が講ずべき措置 に関する指針の一部を改正する 告示」 ※事業主団体を通じた周知徹底 国土 交通 国土 交通省 − 「 国 土 交 通 省 情 報化政策委員会」 を開催して検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(9 月 21 日 ∼10 月 20 日) ○ガイドラインの策定(告示) (12 月 2 日) 「国土交通省所管分野における 個人情報保護に関するガイドラ イン」
分野 所管 省庁 現行の ガイドライン 検討の手段 これまでの 検討状況 検討の結果、 今後のスケジュール 農林 水産 農林 水産省 − 「 農 林 水 産 省 個 人 情 報 安 全 管 理 連絡会議」を開催 して検討 ○ ガ イ ド ラ イ ン 案の公表(パブリ ッ ク コ メ ン ト の 実施)(9 月 3 日 ∼9 月 30 日) ○ガイドラインの策定(告示) (11 月 9 日)「個人情報の適正な 取扱いを確保するために農林水 産分野における事業者が講ずべ き措置に関するガイドライン」 ※ガイドラインの逐条解説の作 成・公表(11 月 9 日) ※事業者団体等を通じた周知徹 底 資料:内閣府ホームページ「個人情報の保護に係る関係省庁の検討状況」を基に作成 (http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html) 図表1−2 業界団体における個人情報保護ガイドラインの制定状況 ○業界団体 所管官庁 団体名 ガイドライン名 アパレル産業協会 アパレル業界における個人情報保護法につい てのガイドライン 石油連盟 SS等における個人情報保護法ガイドライン 日本エルピーガス連合会 LPガス販売事業の個人情報保護に関するガ イドライン 日本百貨店協会 百貨店の個人情報保護ガイドライン 全国スーパーマーケット協会 日本セルフ・サービス協会 日本スーパーマーケット協会 個人情報の保護に関する法律についてのスー パーマーケット業界ガイドライン 日本フランチャイズチェーン 協会 個人情報保護・利用に関するガイドライン(コ ンビニエンスストア版) 日本通信販売協会 通信販売における個人情報保護ガイドライン 日本訪問販売協会 <ダイレクトセリング業界の個人情報保護ガ イドライン> 日本ダイレクトメール協会 DMに関する個人情報保護ガイドライン テレマーケティング協会 テレマーケティングにおける個人情報保護ガ イドライン 日本マーケティング・リサー チ協会 マーケティング・リサーチ産業 個人情報保護 ガイドラインとプライバシーマーク制度 情報サービス産業協会 情報サービス産業 個人情報保護ガイドライ ン 日本パーソナルコンピュータ ソフトウェア協会 JPSA 会員向け個人情報保護ガイドライン 日本書籍出版協会 日本雑誌協会 出版社における個人情報保護対策の手引き 経済産業省 日本印刷産業連合会 印刷産業における個人情報保護ガイドライン
所管官庁 団体名 ガイドライン名 日本グラフィック工業会 東京グラフィックスの個人情報保護ガイドラ イン 全国学習塾協会 個人情報保護に関する法律についての学習塾 におけるガイドライン 結婚情報サービス協議会 (倫理綱領にて明示) 日本クレジット産業協会 全国信販協会 自主ルール運営協議会 クレジット産業における個人信用情報・利用に 関する自主ルール 与信業者等における個人情報の安全管理対策 指針 電子商取引推進協議会 (ECOM) 民間部門における電子商取引に係る個人情報 の保護に関するガイドライン 日本生活協同組合連合会 生協における個人情報保護ガイドライン サイバービジネス協議会 サイバービジネスに係る個人情報の保護に関 するガイドライン 電気事業連合会 電子計算処理に係る個人情報保護のためのガ イドライン 日本コンパクトディスクレン タル商業組合 CD・ビデオレンタル店における会員情報の保 護に関するガイドライン 日本チェーンストア協会 コンピュータ処理に係る個人情報保護のため のガイドライン 電子ネットワーク協議会 電子ネットワーク運営における「個人情報保護 に関するガイドライン」 (社)日本ガス協会 個人情報保護ガス業界ガイドライン (社)日本熱供給事業協会 電子計算処理に係る個人情報保護のためのガ イドライン 協同組合連合会 日本専門店 会連盟 日専連における電子計算機処理に係る個人情 報の保護のためのガイドライン 経済産業省 協同組合連合会 日本商店連 盟 日商連における電子計算機処理に係る個人情 報の保護のためのガイドライン 日本製薬団体連合会 製薬企業における個人情報の適正な取り扱い のためのガイドライン 日本医薬品卸売業連合会 個人情報保護法医薬品卸売業関係ガイドライ ン 日本医師会 医療機関における個人情報の保護 全日本病院協会 個人情報保護法に関するQ&A 日本病院会 病院における個人情報保護法対応への手引き 日本看護協会 看護記録および診療情報の取り扱いに関する 指針 日本臨床衛生検査技師会 検査室における個人情報保護ガイドライン 厚生労働省 日本衛生検査所協会 衛生検査所における個人情報の適切な取扱い のためのガイドライン インターネット協会 電子ネットワーク運営における「個人情報保護 に関するガイドライン」 総務省 日本データ通信協会 (電気通信個人情報保護推進 センター) 「認定個人情報保護団体」の個人情報保護指針 案
所管官庁 団体名 ガイドライン名 全国銀行協会 個人情報の保護と利用に関する自主ルール 個人データの安全管理措置等に関する指針 全国信用金庫協会 個人情報の保護と利用に関する自主ルール 個人データの安全管理措置等に関する指針 生命保険協会 生命保険業における個人情報保護のための取 り扱い指針について 生命保険業における個人情報保護のための取 り扱い指針の安全管理措置等についての実務 指針 日本損害保険協会 損害保険会社に係る個人情報保護指針 損害保険会社における個人情報保護に関する 安全管理措置等についての実務指針 日本証券業協会 個人情報の保護に関する指針 日本証券投資顧問業協会 個人情報の保護に関する取扱指針 信託協会 個人情報の保護と利用に関する指針 個人データの安全管理措置等に関する指針 投資信託協会 「個人情報の保護に関するガイドライン(仮)」 全国賃金業協会連合会 個人情報の保護に関する自主ガイドライン (案) 金融庁 金融情報システムセンター 安全対策基準改訂項目一覧表 住宅生産団体連合会 個人情報保護法対策ガイドライン 不動産鑑定協会 不動産の鑑定評価等業務に係る個人情報保護 に関する指針(ガイドライン) 不動産協会 不動産分譲事業における個人情報保護に関す る留意事項(ガイドライン) 全日本不動産協会 不動産保証協会 不動産業における個人情報に関するガイドラ イン 不動産流通経営協会 個人情報の保護に関する法律についての不動 産流通業に関するガイドライン 不動産証券化協会 「個人情報の保護に関する法律」について(策 定中) 国土交通省 日本自動車販売協会連合会 自動車販売業個人情報保護指針 全国サービサー協会 「債権管理回収業における個人情報保護に関 する自主ルール」 法務省 全国株懸連合会 株式名簿を中心とした株主個人情報に関する 個人情報保護法対応のガイドライン OECD プライバシー保護と個人データの国際流通に ついてのガイドラインに関するOECD理事 会勧告 その他 日本商工会議所 日本商工会議所 個人情報保護方針 資料:監査法人トーマツ・丸山満彦氏ブログ等、各種情報を基に作成
1.2 主な個人情報漏洩事件 平成16 年に報道された個人情報漏洩事件の動向を見ると、日経が調査した平成 16 年 1 月∼12 月に発生した 48 件の個人情報漏洩事件のなかで最も多かったのは、車上荒らしで ノートパソコンやフロッピーディスクが盗まれたケースであった。社外からの不正アクセ スや故意の内部犯行に注目しがちであるが、物理的なセキュリティ、しかも不注意が原因 での事件が最も多いという結果になった。情報漏洩の原因として2 番目に多かったのが, 会社や事務所などからパソコンが盗まれるケースで11 件あった。ある保険代理店では役 員宅へ泥棒が入り、顧客情報を保存したノートパソコンが盗まれた。住宅販売会社では, 分譲マンションの販売センターに設置していたパソコンが盗まれて、アンケート回答者や 資料請求者の氏名、住所、電話番号が漏洩した例もあった。しかし、これら以外では個人 情報の盗難が目的ではなく、単に高額なパソコンを盗んだところ、個人情報が入っていた という結果的な漏洩事件であるケースも多い。3 番目が、データの不正持ち出しによって 情報が漏えいしたケースである。具体的には,業務委託先の担当者が不正に持ち出したデ ータが漏えいしたケースや、資料としてプリントアウトしたものが不正に持ち出され、漏 えいしたケースであった。それ以降の原因は、Web サイトの不具合で個人情報が外部か ら閲覧できてしまった例、メールの誤送信、記憶媒体の紛失,リースしたパソコンを返却 するときにデータを消し忘れた例だが、いずれもそれぞれ1∼2 件程度と少ないものだっ た。 三菱総合研究所が公開情報を基に独自に収集した平成16 年 1 月∼6 月に発生した個人 情報漏洩事件(46 件)の傾向を見ると、漏洩させた主体は企業が最も多く 63.0%(29 件)、 次いで国・自治体が28.3%(13 件)、医療機関、教育機関はいずれも 4.3%(2 件)であ った。漏洩の原因を見ると、個人情報取扱者の不注意であるものが43.4%(20 件)、故意 に不正に入手しようとしたものが39.1%(18 件)とほぼ同数であった(残りは不明)。た だし、上記で述べたように、故意であるものの中にはノートパソコン等を盗難しようとし て結果的に個人情報が漏洩したというケースも数件含まれている。漏洩した個人情報の形 態は、紙媒体が26.1%(12 件)、電子情報が 63.0%(29 件)で電子情報の方が倍以上多 い。個人情報の内容は、氏名が76.0%(35 件)、住所が 60.9%(28 件)と多い。図1− 1をみると、「その他」が次に多いが、金融機関の場合の融資残高や、小売業の場合の代 金の支払額等、金銭に関わる個人情報の漏洩は多い。また、口座番号やクレジットカード 番号、病歴、成績等、センシティブな情報も漏洩している場合がある。一方、漏洩した個 人情報の件数は1 件∼460 万件と状況によって大きく異なる。数十件∼数百件しか個人情 報を持たない企業・団体と、大量のデータ化された個人情報を持つ企業・団体では、法律 の対象事業者か否か前提条件が異なり、さらにはコンピュータ環境・ビジネス規模なども 異なる。それぞれの企業・団体の状況に応じた個人情報保護対策が必要であろう。
図表1−3 漏洩した個人情報の内容(平成16 年上期発生事件) 28 13 3 1 7 22 6 35 0 10 20 30 40 住所 氏名 生年月 日 電話 職業・ 勤務先 年収 e-ma il その 他 (件) 資料:三菱総合研究所調べ
1.3 各業界における個人情報保護対策の方向性 個人情報保護対策は、個人情報を取り扱う全ての事業者が行わなければならないものだ が、業界により保有する個人情報の内容、管理の体制、電子化・ネットワーク化の状況、 管轄省庁や業界団体の指導の方向性等異なっており、その対策状況と業界が抱える課題は 様々と考えられる。 そのため、JEITA 企業がターゲットとすべき市場を概観し、各業界が現在抱える個人 情報保護対策における課題やニーズを把握し、ビジネス展開に向けてより効果的なアンケ ート調査を行うために、業界の識者に対しプレヒアリングを実施した。 なお、個人情報保護対策に対するニーズが高い業界として、金融機関、電子商取引企業、 医療機関、教育機関を想定した。 <プレヒアリング実施概要> ・調査目的 セキュリティ対策における課題やニーズの把握 アンケート調査票設計のためのプレ調査 ・調査期間 平成16 年 7 月∼8 月 ・調査方法 ヒアリング調査 ・調査対象 金融機関、電子商取引企業、医療機関、教育機関の各機関において 個人情報保護対策の現状にお詳しい方 ・調査項目 - 個人情報保護の捉え方 - 個人情報保護対策の現状と課題 - 個人情報保護対策と情報セキュリティとの関係 - 業界における施策・ガイドライン等の制定状況 - JEITA への要望 プレヒアリングは、電子商取引関連団体の個人情報保護関連担当者(電子商取引企業)、 金融機関セキュリティ関連研究者(金融機関)、医療機関個人情報保護関連学識者(医療 機関)、教育委員会情報システム担当者(教育機関)に対して実施した。結果は、次ペー ジ図表1−4の通りである。
図表1−4 プレヒアリング調査結果一覧 ・従来から個人情報は厳重に 管理。 ・学校間のやりとりは少なく、 新たな脅威も少? ・医療従事者の義務として 個人情報保護が有。 ・個人情報取扱いの説明 責任を果たすことで、患者 の同意を取得したとする。 ・従来の管理方法と大きく異 なる点で、個人情報保護が 大きな問題となっている。 ・従来から個人情報を厳重に 管理。新たにやらざるを得な い点については逡巡。 ・レガシーシステム中心なの で、新たな脅威は少。 (0) 個人情報保護 の捉え方 ・PC機能の制限は有効。 ・現場は人材不足のため、高 度な管理は不可能。 ・できることとできないこと を明確にしてほしい。 ・外部に対するニーズはセキュ リティが大きい。教育・リテラ シへの対応。 ・パッケージは、対象を明確 化する必要がある。ニーズに 応じたソリューショ ン提供。 (4) JEITA企業へ の要望 ・小中は、市の個人情報保護 条例に準じる。 ・市の意識の差が影響。 ・教育委員会からの指導有。 ・医療福祉分野の指針を 作る委員会3つを立ち上げ 検討中。 ・現在の方向性、JAHISと JIRAで検討中。 ・ECOMガイドラインではハー ドルを高くしている。内規の策 定、公表ルールの策定等。 ・現在Ver3策定中。 ・個人情報の利用及び保護 についてのガイドラインを金 融庁が出すことはありうる。 (3) 施策・ガイドラ イン等の動向 ・IT化があまり進展しておら ず、従来の個人情報保護対 策の延長でオペレーション可 能。混乱はあまりなし。 ・今後は校内でのアクセス権 管理も必要か。 ・ 「閲覧を含めたアクセス 権の設定」が最重要課題。 ・ベースラインセキュリティ が必要。 ・基本的には今ある技術で 対応可能。 ・既成のコンテンツだけでは 不足。その会社の内部規定 などに基づく必要がある。 ・ツールを買っておしまいで はない。 ・内部犯行への対応として、 従業員の規定書き換えなど の動きはある。技術的な対策 は大きな変化なし。 ・紙ベースの個人情報は技術 では解決しにくい。 (2) セキュリティと の関係 ・故意の個人情報漏洩は少 ない。 ・個人情報をPCで扱う機会 の増加に応じて、指導内容の 修正、指導の強化を実施。 ・運用上の指針が必要。標 準約款。普通に使えば、患 者の権利が守られる形。 ・患者への説明責任として、 外注企業の第三者認証取 得は有効。 ・対策のばらつきが大きい。 ・経済産業省ガイドラインへ の対応はこれから。特に、開 示ルールの整備はまだ。 ・何を対策すべきかわからな い。業界ガイドラインが必要。 ・元々、銀行は個人情報を用 いる商売。 ・現在は、銀行に対するある 種の信頼関係があり、問題 は少ない。 (1) 個人情報保護 対策の現状と 課題 ④教育機関 ③医療機関 ②電子商取引企業 ①金融機関 ・従来から個人情報は厳重に 管理。 ・学校間のやりとりは少なく、 新たな脅威も少? ・医療従事者の義務として 個人情報保護が有。 ・個人情報取扱いの説明 責任を果たすことで、患者 の同意を取得したとする。 ・従来の管理方法と大きく異 なる点で、個人情報保護が 大きな問題となっている。 ・従来から個人情報を厳重に 管理。新たにやらざるを得な い点については逡巡。 ・レガシーシステム中心なの で、新たな脅威は少。 (0) 個人情報保護 の捉え方 ・PC機能の制限は有効。 ・現場は人材不足のため、高 度な管理は不可能。 ・できることとできないこと を明確にしてほしい。 ・外部に対するニーズはセキュ リティが大きい。教育・リテラ シへの対応。 ・パッケージは、対象を明確 化する必要がある。ニーズに 応じたソリューショ ン提供。 (4) JEITA企業へ の要望 ・小中は、市の個人情報保護 条例に準じる。 ・市の意識の差が影響。 ・教育委員会からの指導有。 ・医療福祉分野の指針を 作る委員会3つを立ち上げ 検討中。 ・現在の方向性、JAHISと JIRAで検討中。 ・ECOMガイドラインではハー ドルを高くしている。内規の策 定、公表ルールの策定等。 ・現在Ver3策定中。 ・個人情報の利用及び保護 についてのガイドラインを金 融庁が出すことはありうる。 (3) 施策・ガイドラ イン等の動向 ・IT化があまり進展しておら ず、従来の個人情報保護対 策の延長でオペレーション可 能。混乱はあまりなし。 ・今後は校内でのアクセス権 管理も必要か。 ・ 「閲覧を含めたアクセス 権の設定」が最重要課題。 ・ベースラインセキュリティ が必要。 ・基本的には今ある技術で 対応可能。 ・既成のコンテンツだけでは 不足。その会社の内部規定 などに基づく必要がある。 ・ツールを買っておしまいで はない。 ・内部犯行への対応として、 従業員の規定書き換えなど の動きはある。技術的な対策 は大きな変化なし。 ・紙ベースの個人情報は技術 では解決しにくい。 (2) セキュリティと の関係 ・故意の個人情報漏洩は少 ない。 ・個人情報をPCで扱う機会 の増加に応じて、指導内容の 修正、指導の強化を実施。 ・運用上の指針が必要。標 準約款。普通に使えば、患 者の権利が守られる形。 ・患者への説明責任として、 外注企業の第三者認証取 得は有効。 ・対策のばらつきが大きい。 ・経済産業省ガイドラインへ の対応はこれから。特に、開 示ルールの整備はまだ。 ・何を対策すべきかわからな い。業界ガイドラインが必要。 ・元々、銀行は個人情報を用 いる商売。 ・現在は、銀行に対するある 種の信頼関係があり、問題 は少ない。 (1) 個人情報保護 対策の現状と 課題 ④教育機関 ③医療機関 ②電子商取引企業 ①金融機関 <金融機関> 金融機関の場合、従来から非常に重要な個人情報を扱っていた業界であり、従来と比較 して特別な対策はあまり必要ないという状況である。レガシーシステムでクローズドな世 界が中心なので、ネガティブに言えば情報技術の発展にキャッチアップできていないとこ ろがあり、ネットを通じて個人情報が漏洩するということは考えにくい業界と言える。 そもそも銀行は、金融取引において収集された個人情報を様々な局面で用いるビジネス であるが、現在、消費者は、銀行に対するある種の信頼関係を持っているために、例えば 住宅ローンの販売などのケースも、問題と捉えられていない。 一方、内部犯行への対応として、内部の従業員の規定を書き換えるなど規制を強める動 きはあるが、技術的な対策という意味ではあまり変わっていない。内部犯行の場合は、バ イオメトリクスなどを導入しても効果には限界。営業ではやはり紙ベースで外に持ち出す 必要があるので、技術では解決しにくい。 <電子商取引企業> 電子商取引企業については、その対策状況のばらつきが非常に大きい。CPO の任命、 組織の整備、外部へ個人情報保護ポリシーの公開などを行っているところもあれば、何も やっていないところもある。現場としては、省庁のガイドラインを見てもどこまで対策を すべきかわからないので、業界毎のガイドライン・指針が必要である。仲間同士で情報交 換して、様子を見ながら対策を進めていくというところも多い。
<医療機関> 患者からの視点に立った対策が重要であると考えられている。個人情報保護を達成して いること、達成していることを患者に伝えることが大切であるが、検査の外注など、それ がないと医療が成立しないにも関わらず、実は多くの場面で自分の個人情報が外部とやり 取りされている状況を患者が知らないのは問題。 内部犯行へはこれまでも対応しているはずである。今後はルール策定と教育がより重要 になるだろう。内部犯行対策のために、ISMS を取るのは悪くはないが、ISMS に準拠し た対策をすることと、実際に取得するかどうかは別問題であり、ビジネス的に意味があれ ば取るのだろうが、患者がそのことによって病院を選ぶわけではない。プライバシーマー クも同様。 個人情報保護は、情報システムだけに注目しても対策はできない。メモして渡す等、情 報システムに入らない情報をどうするかを考えなければならない。今後の技術に期待はあ まりなく、多くの対策は今ある技術で対応可能と考えられる。 情報セキュリティ面では、努力目標が必要なのではなく、ベースラインセキュリティが 必要ではないか。 また、米国の自由診療制度と日本の社会保険制度の違いは大きい。日本の医療費はG7 の7ヶ国では最低であり、維持のためには対策費用が足りず、最終的には負担を増やされ る方向になってしまうのではないか。 <教育機関> 指導要領、健康に関する通知書等の個人情報は、紙で厳重に管理していた業界である。 従来は、学校に強盗に入られたとしても、ターゲットは個人情報ではなくビデオなどの高 額機器であった。しかし、個人情報をPCで扱う機会は増えており、2000 年以降、全国 の教育機関で発生した個人情報漏洩事件は約 30 件に達したことから、教育委員会として も指導を厳しく始めた。 しかし、教育機関での個人情報漏洩事件において、故意に行われたものは少ない。また、 総合教育センター、小中高のネットワーク接続等IT化を積極的に行っているケースはあ るが、ネットワークを介した個人情報のやりとりは禁止されているため、特に問題ではな い。 現場においては、PC機能の制限は有効かもしれない。運用管理方針はあるが、自己P Cの持ち込み等、管理には限界もある。個人情報はサーバで集中管理するのが理想である が、現場にはセキュリティに詳しい人がいないので高度な管理は難しいのが現状である。 以上の結果より、医療機関および教育機関については、企業と状況が大きく異なること から、本年度調査においては、特に企業における個人情報保護対策の取り組みを中心に調 査を行うこととする。
【参考】医療業界における個人情報保護の現状 医療分野における主な個人情報は、以下のように大別される。 1.患者基本情報(氏名、年齢、生年月日、勤務先、戸籍登録 等) 2.健康保険・福祉情報(健康保険情報、公費医療情報 等) 3.診療管理用情報(受診診療科情報、適用保険情報、受診日 等) 4.生活背景情報(喫煙歴、飲酒歴、生活歴 等) 5.医学的背景情報(出生時体重、既往歴、輸血歴、アレルギー 等) 6.診察記録情報(問診記録、現病歴、身体所見、経過記録 等) 7.指示実施記録情報(検査実施結果、手術実施記録 等) 8.診療情報交換情報(診療情報提供書 等) 9.診療説明・同意情報(各種説明情報、各種同意情報 等) 10.要約情報(診療要約、入院要約 等) 11.死亡記録情報(死亡診断書、剖検記録 等) また、医療における個人情報収集の目的は、以下の通りである。 ・診療 − 診療や処方目的に医療機関での直接利用 − 院内カンファレンスや院外コンサルテーションでの利用 − 診療報酬請求、入院ベッド管理、入院者の食事の準備 ・研究 − 臨床実習 − 疫学研究 (二重収集防止のための個人識別情報) ・医療行政 − 各種法律(医療法、薬事法等)に則っているかの報告 医療機関における個人情報の特徴は、大部分の情報は間接的で客観的な情報であること、 取得方法が多岐に渡ること、そして利用目的が多彩であることと言える。 医療機関における個人情報取り扱いに関する論点は、以下の通りである。 ・死者のプライバシー保護 生前に収集された情報は死後でも記録されるが、死者のプライバシーについては、社会 通念的にも法律的にも一定の共通認識がない。死亡している場合に個人の同意を取れない。 遺族による開示請求や苦情と本人によるものを同等とみなすか。 ・家族 家族歴の収集にあたり同意を全て取れない、本人の同意を得るのが困難な状況で、家族 に患者の診療情報を伝える場合 ・遺伝子解析情報
医療情報は、技師・医者・看護士など多くの人が見るので、アクセス権をいちいち管理 するのは難しい。通常、データ入力は ID・パスワード認証だが、一部でバイオメトリク ス(指紋・光彩等)の導入も見られる。ただし、看護士など薬品の関係で指紋が見えない 人も多く絶対的に利用できるわけではない。ISMS を唯一取得した城東中央病院はかなり 「希有」な例であり、医療業界にプライバシーマークなどの意識はほとんどない。講習会、 e−ラーニング等やっているが、意識の向上はまだまだの段階である。 医療業界は、様々な法律が絡んでくるので、真剣に議論しようとすると、相当に勉強し ないと難しい。また、医療情報の目的外利用の規定が難しい。場合によっては宗教を聞く 必要もあるが、どこまでが医療行為なのか。今後、大学病院も症例研究が難しくなる。 カルテはよく紛失するものである。珍しい症例の場合など、医者が(転院しても)持っ ていってしまう例もある。こうなると、個人の開示要求に答えられない場合も考えられる。 1.4 個人情報保護ビジネスの動向 個人情報保護法の施行を前に、セキュリティ事業者による個人情報保護ビジネスも活況 を呈しており、様々な製品・サービスが日々世に登場している。ユーザとしては、選択肢 が増える反面、そもそも個人情報保護法対応のためにどのような対策をする必要があるの かがわかりにくいために、どの製品・サービスを選ぶことで何がどこまで保護できるのか、 というメリットが見えにくい状況にもなっている。また、個人情報は一度漏洩させてしま うと取り返しがつかないものだけに、部分的な対応だけでは不十分であり、個人情報の管 理サイクルに従って全体的な対応をする必要がある。各セキュリティ事業者も個人情報保 護製品・サービスのパーツを売るというビジネスではなく、個人情報保護コンサルティン グから始まり、個人情報の収集から活用∼廃棄の部分までトータルで対応可能なサービス を提供し始めている。
第 2 章
企業における個人情報保護対策の現状
2.1 アンケート実施方針 (1)調査の概要 プレヒアリングの結果を踏まえ、全国の企業に対してアンケート調査を実施した。実施 概要は以下の通りである。 ・調査目的 企業における個人情報保護対策に関する実態の把握 今後の方向性の検討 等 ・調査期間 平成16 年 9 月∼10 月 ・調査方法 郵送アンケート調査 調査主体:(株)三菱総合研究所 社団法人電子情報技術産業協会の委託を受け実施 ・調査対象 企業において個人情報保護対策を計画・実施する担当者 ・調査項目 - 個人情報保護対策の現状 - 個人情報保護対策製品・サービスに対するニーズ - 現状の課題 - 今後の予定 ・配布数 2,000 個人情報を多く保有していると想定される業種を優先的に抽出 (業種別発送数は次頁の通り) ・回収数 240(回収率 12.0%)図表2−1 業種別発送数 従業員数100名以上の企業数 大分類 主業業種中分類コード 主業業種中分類名 件数(件) 大分類合計 配布数 抽出率 農業 1 農業 40 5 農業サービス 4 林業 6 林業 2 漁業 8 漁業 32 鉱業 10 金属鉱業 3 11 石炭・亜炭鉱業 1 12 原油天然ガス鉱業 9 13 非金属鉱業 23 建設業 15 職別工事 240 16 総合工事 979 17 設備工事 747 1966 50 2.5% 製造業 19 武器製造 3 20 飲食料品・飼料製造 1,245 21 たばこ製造 1 22 繊維工業 193 23 繊維製品製造 332 24 木材・木製品製造 114 25 家具・装備品製造 127 26 パルプ・紙製造 340 27 出版・印刷業 688 28 化学工業 773 29 石油石炭製品製造 39 30 ゴム製品製造 172 31 皮革・同製品製造 29 32 窯業・土石製品製造 403 33 鉄・非鉄金属製造 531 34 金属製品製造 836 35 一般機械器具製造 1,352 36 電気機械器具製造 1,814 37 輸送機械製造 831 38 精密・医療機械製造 291 39 その他製造 661 10775 450 4.2% 卸売業 40 卸売(1) 3,418 41 卸売(2) 732 42 代理商,仲立業 11 4,161 100 2.4% 小売業 43 各種商品小売 552 44 織物・衣服小売 254 45 飲食料品小売 658 46 飲食店 516 47 自動車自転車小売 794 48 家具・什器等小売 225 49 その他の小売 733 3,732 300 8.0% 金融・保険業 50 銀行・信託 142 51 農林水産金融 65 52 中小・庶民金融 483 53 補助的金融 34 54 証券・商品取引業 160 55 保険 75 56 保険サービス 43 57 投資業 34 1036 不動産業 59 不動産 423 423 300 20.6% 運輸業 61 鉄道 66 62 道路旅客運送 1,113 63 道路貨物運送 1,631 64 水運 85 65 航空運輸 27 66 倉庫 114 67 運輸サービス 684 3720 150 4.0% 情報通信業 68 郵便・電気通信 89 89 70 電気 23 71 ガス 38 72 水道 11 73 熱供給 5 77 50 30.1% サービス業 74 物品賃貸 274 75 旅館・ホテル 458 77 洗濯・理容・浴場 273 78 他の個人サービス 171 79 映画・ビデオ制作 89 80 娯楽 637 81 放送 105 82 自動車整備駐車場 42 83 その他の修理 229 84 協同組合 487 85 広告、情報サービス 1,526 86 他の事業サービス 2,328 87 専門サービス 765 7384 600 8.1% 88 医療 3,401 89 保健衛生廃棄物処理 195 90 宗教 31 91 教育 836 92 社会保険・福祉 616 93 学術研究機関 48 94 政・経・文化団体 115 95 その他のサービス 5 【合 計】 38,724 2,000 1 重要な個人情報を持っている業種:抽出率20%以上 個人情報を持っている可能性がかなり高い業種:抽出率8% 個人情報を持っている可能性が高い業種:抽出率4% 個人情報を持っている可能性がある業種:抽出率2% 今回送付の対象外 電気・ガス・ 熱供給・水 道業
2.2 アンケート分析結果 設問1 貴社の概要および情報通信基盤の整備状況についてお伺いいたします。 Q1.1 貴社の業種は以下のうちどれにあたりますか(○は一つだけ)。 4.6 22.1 5.0 15.0 3.3 10.0 20.4 4.6 1.3 13.3 0.4 0% 20% 40% 60% 80% 100% 建設業 製造業 電気・ガス・熱供給・水道業 運輸業 卸売・小売業、飲食 金融・保険業 不動産業 電気通信業 情報サービス業 その他サービス業 その他 不明 (N=240) Q1.2 貴社の従業員数は約何人ですか。 [平均 620.6 人] 2.1 37.9 13.8 19.2 14.6 11.3 1.3 0% 20% 40% 60% 80% 100% 100人未満 100∼200人未満 200∼300人未満 300∼500人未満 500∼1,000人未満 1,000人以上 不明 (N=240)
Q1.3 貴社の年間売上高はどれくらいですか。 [平均 33,866.6 百万円] 14.2 7.9 17.9 9.6 16.7 14.6 12.5 6.7 0% 20% 40% 60% 80% 100% 5億円未満 5億∼10億円未満 10億∼30億円未満 30億∼50億円未満 50億∼100億円未満 100億∼300億円未満 300億円以上 不明 (N=240) Q1.4 貴社の拠点数はどれくらいですか。 [平均 23.0 箇所] 11.3 7.5 9.2 12.5 21.7 16.7 10.0 10.8 0.4 0% 20% 40% 60% 80% 100% 1箇所 2箇所 3箇所 4∼5箇所 6∼10箇所 11∼20箇所 21∼40箇所 41箇所以上 不明 (N=240) Q1.5 貴社に設置されているコンピュータの台数は約何台ですか。 [平均 392.6 台] 17.5 10.0 16.7 19.2 8.8 12.9 6.7 5.82.5 0% 20% 40% 60% 80% 100% 30台未満 30∼50台未満 50∼100台未満 100∼200台未満 200∼300台未満 300∼500台未満 500∼1,000台未満 1,000台以上 不明 (N=240)
Q1.6 直接またはゲートウェイ等を介して間接的にインターネットに接続できるサーバ やパソコンの割合はどれくらいですか。 [平均 68.9 %] 1.3 10.0 5.8 4.6 4.6 5.0 8.3 16.3 32.1 6.3 2.9 2.9 0% 20% 40% 60% 80% 100% 0% 1∼10% 11∼20% 21∼30% 31∼40% 41∼50% 51∼60% 61∼70% 71∼80% 81∼90% 91∼100% 不明 (N=240) Q1.7 あなたの会社の顧客は主に次のうちどれにあてはまりますか。(○は一つ) 27.1 46.3 21.3 5.4 0% 20% 40% 60% 80% 100% 主にコンシューマ 主にビジネスユーザ コンシューマ、ビジネスユーザ両方 不明 (N=240) 設問2 貴社における、個人情報保護対策に関する認識についてお伺いいたします。 Q2.1 「個人情報の保護に関する法律(個人情報保護法)」が平成 15 年に成立し、平成 17 年 4 月から完全施行されることを知っていますか(○は一つ)。 22.1 42.5 21.7 12.9 0.8 0% 20% 40% 60% 80% 100% 法律の内容まで詳しく知っている 法律の概要は知っている 成立や施行については知っているが、法律の内容は知らない 法の名称のみ知っているが、内容や施行時期等は知らない 法の名称も内容も全く知らない (N=240)
Q2.2 経済産業省は、企業が個人情報保護法に対応する際の参考となるようなマニュア ルとして、同省の所管業種に対して「個人情報保護に関する法律についての経済 産業分野を対象とするガイドライン」を取りまとめました。あなたはこのガイド ラインを知っていますか(○は一つ)。 11.3 11.7 26.7 27.9 22.1 0.4 0% 20% 40% 60% 80% 100% ガイドラインを実際に活用している ガイドラインの内容まで詳しく知っている(特に活用せず) ガイドラインの概要は知っている(特に活用せず) ガイドラインがまとめられたことは知っている ガイドラインについては全く知らない 不明 (N=240) Q2.3 組織として情報セキュリティマネジメントを確立するための、技術的なセキュリ ティ対策と組織マネジメントの両面について第三者評価・認定を行う「情報セキ ュリティマネジメントシステム(ISMS)適合性評価制度」を知っていますか。(○ は一つ)。 3.84.6 6.7 26.3 27.9 30.8 0% 20% 40% 60% 80% 100% 既に認証を取得している 認証取得に向けて取組中である 制度の詳しい内容は知っている(認証取得せず) 制度の概要は知っている(認証取得せず) 制度の名称のみ知っている 制度の名称も内容も全く知らない (N=240)
Q2.4 個人情報の取扱いを適切に行う事業者を、第三者機関である(財)日本情報処理開 発協会(JIPDEC)及びその指定機関が評価・認定し、その証としてプライ バシーマークと称するロゴの使用を許諾する「プライバシーマーク制度」を知っ ていますか。(○は一つ)。 5.4 6.3 11.3 28.3 24.2 24.2 0.4 0% 20% 40% 60% 80% 100% 既に認証を取得している 認証取得に向けて取組中である 制度の詳しい内容は知っている(認証取得せず) 制度の概要は知っている(認証取得せず) 制度の名称のみ知っている 制度の名称も内容も全く知らない 不明 (N=240) ※本設問以降「個人情報」については、顧客や取引先等、外部の個人の情報に関してお 答え下さい。 設問3 貴社が保有している個人情報(従業員・株主等を除く)についてお伺いいたしま す。 Q3.1 貴社が保有している個人情報(従業員・株主等、内部を除く)の件数はどれくら いですか。 (1)顧客企業や取引先、提携先企業の担当者情報 [平均 307,095.7 人分] 8.3 51.7 18.8 21.3 0% 20% 40% 60% 80% 100% 持っていない 5,000人未満 5,000人以上 不明 (N=240)
(2)一般消費者の情報 [平均 131,349.8 人分] 22.9 14.2 34.2 28.8 0% 20% 40% 60% 80% 100% 持っていない 5,000人未満 5,000人以上 不明 (N=240) (3)その他(顧客や取引先から得た情報、モニタ情報 等) [約 17,800.3 人分] 24.6 19.2 5.0 51.3 0% 20% 40% 60% 80% 100% 持っていない 5,000人未満 5,000人以上 不明 (N=240) Q3.2 貴社では、個人情報をどのような方法で収集していますか。(○はいくつでも) 84.6 14.2 14.6 12.1 2.9 9.6 0% 20% 40% 60% 80% 100% 取引の過程で得た個人情報を蓄積 アンケートや懸賞等で収集 顧客管理の一環として収集 グループ企業から提供 名簿業者から購入 その他 (N=240)
Q3.3 貴社では、個人情報の更新をどのくらいの頻度で行っていますか。(○はいくつで も) 45.8 13.8 6.7 0.4 0.0 33.3 10.4 0.0 0% 20% 40% 60% 80% 100% 取引の度に更新 定期的に更新(1年に一度以上) 定期的に更新(約1-3年一度) 定期的に更新(約3-5年一度) 定期的に更新(5年以上一度) 不定期に更新 更新はしていない 不明 (N=240) Q3.4 貴社では、個人情報を何の目的で収集していますか。(○はいくつでも) 67.9 65.8 22.1 6.7 15.0 17.9 0.4 5.0 6.7 0% 20% 40% 60% 80% 100% 取引、サービス提供のため 顧客管理のため マーケティングのため 調査・研究、商品開発のため 広告・宣伝のため 代金回収のため 他社に販売するため その他 不明 (N=240)
Q3.5 貴社が現在保有している個人情報はどれですか。(○はいくつでも) Q3.6 貴社が今後利用したい個人情報はどれですか。(Q3.5 の選択項目を除く、○はい くつでも) 92.1 60.4 65.0 85.8 86.3 47.5 61.7 10.0 8.3 19.2 0.8 4.2 5.0 4.2 32.5 7.9 27.5 9.6 15.4 11.3 4.6 4.2 2.5 2.9 4.6 0.4 2.9 0.8 0.4 0.8 10.8 2.9 2.5 12.9 7.5 3.8 3.8 2.9 5.0 6.3 4.2 0.4 0.4 5.8 4.2 0.4 1.3 0.8 28.8 32.1 0% 20% 40% 60% 80% 100% 氏名 年齢、生年月日 性別 住所 電話番号 電子メールアドレス 勤務先・職業 学歴 趣味・興味 家族構成 交友関係 顔写真 位置情報 自社webのアクセス履歴 自社における購買履歴 自社への電話やメール内容 銀行口座番号 クレジットカード番号 年収・資産 借金・負債 身長・体重・身体的特徴 病歴 その他 特になし 不明 現在保有している 今後利用したい (N=240)
Q3.7 貴社がお持ちの個人情報のうち、漏洩の際に特に被害が大きいとお考えの情報は 何ですか。Q3.5 の項目から5つまで選び、番号をご記入下さい。 57.9 30.0 8.8 58.3 54.6 21.3 25.8 0.8 1.7 5.8 0.0 1.7 0.8 0.4 14.2 2.1 23.8 13.8 18.3 16.7 2.5 7.1 1.7 0.0 14.2 0% 20% 40% 60% 80% 100% 氏名 年齢、生年月日 性別 住所 電話番号 電子メールアドレス 勤務先・職業 学歴 趣味・興味 家族構成 交友関係 顔写真 位置情報 自社webアクセス履歴 自社購買履歴 自社電話メール内容 銀行口座番号 クレジットカード番号 年収・資産 借金・負債 身長・体重・身体的特徴 病歴 その他 特になし 不明 (N=240)
Q3.8 個人情報が漏洩した場合の損害はいくら程度とお考えですか。漏洩した際の個人 情報 1 人分当たりの想定される損害賠償金額をお答え下さい。(それぞれ○は一 つ) (1) 基本的な個人情報(氏名・生年月日・住所・電話番号等、Q3.5の項目1-7に相当) 13.8 22.9 9.2 5.4 8.8 11.3 2.56.3 9.6 10.4 0% 20% 40% 60% 80% 100% 500円未満 500∼1,000円未満 1,000∼3,000円未満 3,000∼5,000円未満 5,000∼10,000円未満 10,000∼30,000円未満 30,000∼50,000円未満 50,000∼100,000円未満 100,000円以上 不明 (N=240) (2) プライベートな個人情報(趣味・購買履歴・家族構成等、Q3.5の項目8-16に相当) 6.7 14.2 10.4 7.5 7.9 14.2 5.0 4.2 12.9 17.1 0% 20% 40% 60% 80% 100% 500円未満 500∼1,000円未満 1,000∼3,000円未満 3,000∼5,000円未満 5,000∼10,000円未満 10,000∼30,000円未満 30,000∼50,000円未満 50,000∼100,000円未満 100,000円以上 不明 (N=240) (3) 漏洩の際に経済的損害や精神的苦痛を及ぼす重要な個人情報 (クレジットカード番号・身体的特徴等、Q3.5の項目17-22に相当) 4.2 2.5 10.8 10.0 5.0 7.9 34.6 18.3 3.8 2.9 0% 20% 40% 60% 80% 100% 500円未満 500∼1,000円未満 1,000∼3,000円未満 3,000∼5,000円未満 5,000∼10,000円未満 10,000∼30,000円未満 30,000∼50,000円未満 50,000∼100,000円未満 100,000円以上 不明 (N=240)
Q3.9 万が一、貴社保有の個人情報が漏洩した場合、貴社に深刻な被害を及ぼすと考え られるのは、次のうちのどれですか。(○はいくつでも) 84.6 5.4 53.8 28.3 4.6 46.3 10.4 1.3 6.7 0% 20% 40% 60% 80% 100% 社会的信用の低下 株価への影響 情報が漏洩した個人からの損害賠償請求 業務自粛等によるビジネス上の損害 第三者認証の剥奪 顧客からの取引や指名の停止 (元請け企業からの)契約義務違反による処罰 その他 不明 (N=240) Q3.10 貴社では、個人情報の取り扱いについて事故や問題が生じたことがありますか。 (○は一つ) 2.9 85.8 5.8 5.4 0% 20% 40% 60% 80% 100% ある ない わからない 不明 (N=240) → 可能であれば、対象となった個人情報の内容や件数、個人情報を取り扱っ ていた業務、事故や問題の内容、その後の対応についてお答え下さい。 (1)情報内容 件数 2件 保険契約等の内容 3件 (2)個人情報 取扱い業務 ドコモ携帯電話 販売 総務・経理 (3)事故や 問題の内容 FAX、郵便局の誤 配・誤送信 学歴.待遇等につい て守秘を怠った (4)その後の 対応 社員による回収 配置換え
設問4 貴社の個人情報保護対策の現状についてお答え下さい。現在、どのような対策を 行っていますか。(○はそれぞれ一つずつ) 20.8 19.2 11.7 20.4 15.8 11.7 19.2 21.3 23.8 27.1 7.5 9.2 12.1 31.3 22.1 5.8 6.7 23.3 13.8 18.8 17.9 38.3 31.3 26.3 34.6 33.3 29.2 37.1 36.7 37.9 32.5 33.8 36.3 37.9 32.5 38.3 31.3 29.2 40.8 34.2 30.8 35.4 28.8 38.8 45.0 29.2 32.5 36.7 28.3 27.5 26.3 27.5 40.0 35.4 35.0 24.6 27.1 36.7 39.2 27.1 26.7 34.6 35.8 6.7 5.4 8.8 8.8 11.3 15.4 9.2 7.9 5.4 6.7 12.1 12.1 8.3 5.0 5.8 18.8 17.5 2.9 18.3 9.6 5.0 5.4 5.4 8.3 7.1 7.1 7.1 6.3 6.7 6.7 6.3 6.7 7.1 6.7 6.7 6.7 7.5 7.5 5.8 7.1 6.3 5.8 0% 20% 40% 60% 80% 100% プライバシーポリシーの策定 個人情報保護管理責任者(CPO)の設置 コンティンジェンシープランの策定 必要な個人情報の絞込み 個人情報の利用目的の通知・公表 個人情報収集・委託等利用時の管理シート提出 個人情報の閲覧者・入手者の制限(紙媒体) 個人情報の閲覧者・入手者の制限(電子媒体) 個人情報記載用紙の厳重管理(専用保管庫設置等) 個人情報データの厳重管理(専用サーバ設置等) 個人情報の閲覧者と閲覧日時の記録(紙媒体) 個人情報の閲覧者と閲覧日時の記録(電子媒体) 個人情報記載用紙のコピー・印刷の制限 不要になった個人情報の完全な廃棄(紙媒体) 不要になった個人情報の完全な廃棄(電子媒体) 外注先選定条件の強化 外注先に対する監査や検査の実施 従業員向け個人情報保護教育の実施 派遣社員向け個人情報保護教育の実施 従業員との個人情報保護に関する誓約書締結 ルール違反者に対する罰則規定の策定・強化 対応済み 検討中 未検討 特に不要 不明 (N=240)
設問5 貴社の個人情報保護対策に関わる製品・サービス導入の現状と、今後重点的に投 資する意向の有無をお答え下さい。(①導入状況、②投資意向とも、各対応策 について○はそれぞれ一つずつ) ①導入状況 22.9 15.8 1.7 70.8 53.8 21.7 25.4 38.3 6.7 6.7 16.7 7.9 1.7 5.8 37.1 19.6 8.8 3.8 5.4 10.8 10.0 16.7 12.5 17.9 28.8 30.4 17.1 15.8 17.1 27.5 29.2 12.9 26.7 24.2 24.6 13.3 21.7 22.1 27.9 32.9 45.0 6.3 14.6 29.6 24.2 21.3 42.5 42.9 31.7 36.3 47.9 40.8 21.3 35.0 46.3 46.3 43.8 28.8 32.1 25.4 3.3 5.0 10.4 10.0 14.6 22.9 20.0 12.1 15.4 24.2 13.8 7.9 10.8 20.4 15.4 17.9 0.8 0.8 2.9 0.4 2.1 2.1 1.7 1.3 3.8 4.6 3.3 3.8 5.4 5.0 2.1 2.5 3.3 5.0 2.9 0% 20% 40% 60% 80% 100% 入退室管理システム(ICカード等) 入退室管理システム(監視カメラ) 情報漏洩対応複写機・プリンタ ウイルス対策ツール・監視サービス ファイアウォール/VPN製品・運用サービス 侵入検知ツール・侵入監視サービス web/メールフィルタリング・監視ツール 従業員個人認証・認可システム(ID・PW等のみ) 従業員個人認証・認可システム(バイオメトリクス) ユーザの個人認証ツール・サービス(PKI等) 端末/デスクトップ管理ツール・サービス データ暗号化ソフトウェア 電子透かしによるコンテンツ管理 不正利用ログ解析ツール データバックアップ・保管サービス データ消去/破壊ツール・サービス 個人情報保護コンサルティング 個人情報漏洩保険 個人情報保護関連セキュリティ教育サービス (N=240) 4.2 15.4 50.8 17.9 3.8 セキュリティ監査サービス 実施・導入済 検討中 未検討 特に不要 知らない 不明
②投資意向 19.2 38.3 37.9 32.1 36.7 26.7 14.6 17.5 27.1 28.3 9.6 25.0 35.8 30.4 16.3 22.1 20.4 17.5 32.5 情報漏洩対応複写機・プリンタ ウイルス対策ツール・監視サービス ファイアウォール/VPN製品・運用サービス 侵入検知ツール・侵入監視サービス web/メールフィルタリング・監視ツール 従業員個人認証・認可システム(ID・PW等のみ) 従業員個人認証・認可システム(バイオメトリクス) ユーザの個人認証ツール・サービス(PKI等) 端末/デスクトップ管理ツール・サービス データ暗号化ソフトウェア 電子透かしによるコンテンツ管理 不正利用ログ解析ツール データバックアップ・補完サービス データ消去/破壊ツール・サービス 個人情報保護コンサルティング 個人情報漏洩保険 個人情報保護関連教育サービス セキュリティ監査サービス 不明 18.3 12.9 0% 20% 40% 60% 80% 100% 入退室管理システム(ICカード等) 入退室管理システム(監視カメラ) (N=240) 【用語】 ・情報漏洩対応複写機・プリンタ 1 ・端末/デスクトップ管理ツール・サービス 2 ・不正利用ログ解析ツール 3 1 印刷した文書を不正にコピーすると画像データを破壊して読めなくする機能や、内蔵ハードディスクに 一時的に残されるデータを機械の撤収時に消去する機能のついた複写機・プリンタ等、またはこれらの機 能を提供するサービス 2 PCのウイルス定義ファイルの更新状況、OSやブラウザ等のパッチ対応状況を管理するソフトウェア、サ ービス 3 不正アクセス等の被害時の証拠保全や不正アクセス追跡のための解析手段を提供するソフトウェア、フ ォレンジックツール
設問6 貴社の個人情報保護対策に関する投資動向についてお伺いいたします。 Q6.1 貴社における今年度の個人情報保護対策費用額はどれくらいですか(○は一つ)。 なお、個人情報保護対策費用とは、設問5で挙げた項目に関する製品等に対する 支出額を指します。 34.6 16.7 9.2 3.3 25.0 5.8 3.3 1.7 0.4 0% 20% 40% 60% 80% 100% 100万円未満 100万∼500万円未満 500万∼1,000万円未満 1,000万∼2,000万円未満 2,000万∼5,000万円未満 5,000万∼1億円未満 1億円以上 わからない 不明 (N=240) 29.2 47.5 0.8 22.5 0% 20% 40% 60% 80% 100% (N=240) Q6.2 現在の個人情報保護対策予算額は充分だと思われますか。該当する項目に○を付 け、具体的な数字をご記入願います(○は一つ)。 不十分 ほぼ十分 過剰 不明 *不十分である場合、望ましい増加割合 2.9 25.7 41.4 1.4 0.0 28.6 0% 20% 40% 60% 80% 100% 0∼25%未満 25∼50%未満 50∼75%未満 75∼100%未満 100%以上 不明 (N=70)
*過剰である場合、望ましい減少割合 0.0 100.0 0.0 0.0 0.0 0.0 0% 20% 40% 60% 80% 100% 0∼25%未満 25∼50%未満 50∼75%未満 75∼100%未満 100%以上 不明 31.3 51.7 4.2 12.9 0% 20% 40% 60% 80% 100% (N=240) (N=2) Q6.3 来年度の個人情報保護対策予算額はどのように変化する予定ですか。(○は一つ だけ)。 増加予定 ほとんど変わらない 減少予定 不明 設問 7 個人情報保護対策に関する問題点についてお伺いいたします。 Q7.1 個人情報保護対策上でどのような点に問題を感じますか(○はいくつでも)。 12.1 17.1 25.0 14.2 22.5 27.1 1.7 5.0 理強化により、現場の業務に支障が出ている 紙媒体による個人情報漏洩対策が困難 外部記憶媒体による個人情報漏洩対策が困難 (個人PC等)による個人情報漏洩対策が困難 個人情報保護担当者の管理負荷が増大 その他 特になし 60.0 15.8 42.5 9.2 3.8 5.4 0% 20% 40% 60% 80% 100% どこまで対策をすべきかわからない 対策製品・サービスの選定基準がわからない 個人情報を扱う従業員の意識が低い 個人情報を扱う派遣社員の管理に不安がある 個人情報を扱う作業を委託する外部業者の管理に不安がある 個人情報の管 モバイル機器 わからない 不明 (N=240)
