平成16年度 財団法人インターネット協会委託調査事業
「インターネット上の人権意識調査アンケート」(個人情報保護編)調査報告書
平成16年3月30日
調査対象:企業・団体に所属する個人ー
抽出方法:ウェブ及びメールマガジンの告知による任意参加
有効回答数:98件
回答者の属性
単純集計では回答者の82%は民間企業に所属する人であり、5,000人未満の個人情報を保有する企業の管理職クラスであるということになるが、データをさらに詳細に分析してみると、「民間企業」と回答した人のうち保有個人情報が100人未満と答えた人は18人、100~1,000人未満が15人、1,000~5,000人未満が16人、10万人未満が14人、10,000~1000,000人未満が7人、5,000~10,000人未満が8人、不明が4人という結果となっており、単純集計結果とほぼ同比率であることが分かった。「個人事業」と答えた人の場合もやはり上記グラフと同比率であったが、ここでは10万人以上の個人情報を保有する事業者はいなかった。
組織が収集・保有する個人情報の内容については、個人識別情報と呼ばれる基本情報(氏名・住所・電話番号)はほぼ全ての組織で保有しており、ネット通販などで主に収集されると思われる「メールアドレス」「口座情報」「購入履歴」等がそれに続く。また、「生年月日」や「学歴・職歴」「顔写真」などは、 採用時に収集する履歴書の情報と関係があるものと推測できる。
個人情報の収集・管理を自社で全て行っているケースが80%を越えているが、内訳を見ると民間企業では82人中64人、個人事業者では11人中10人、公益法人・NPOでは4人全てが自社で収集管理していると回答していた。
「他社へアウトソーシングしているが、守秘義務契約を交わしているかどうか知らない」と答えた3人のうち2人は民間企業で「閲覧または利用する権限のみある」人だったが、残り1人は「管理職として個人情報の保護に努める義務がある」人で10万人以上の個人情報を保有していた。
大部分の組織では収集時の利用目的の範囲内でのみ利用している結果となっているが、「営利目的で外部に提供することもある」と答えた人は全て民間企業であり、銀行口座情報を含む10,000~100,000人分の個人情報を保有する会社もあった。
「セキュリティ不備により流出したことがある」との回答は5件とも民間企業であるが、この中にはクレジットカード情報を保有している会社も3社あった。そしてそのうちの2社では「誰かの悪意によって公開されたことがある」とも答えている。
また「セキュリティ不備により流出したことがある」と答えた5社のうち4社は自社ですべての情報を収集管理しており、残りの1社はアウトソーシングしていたがプライバシーマークを取得していた。
ここで注目すべき点は、事件を自主的に公表し謝罪するという趣旨の回答が2位と3位にある。すでにインターネット上に流出してしまった場合において事実を公表しないと考えることにも無理があると思われるが、昨今あいつぐ個人情報漏洩問題の報道の影響で、多くの企業では事実を即座に公表し、誠意ある対応をとることが得策と考えていることが伺える。
過半数の人が「法律の基本的な趣旨は理解している」と答えているが、民間企業で管理職として個人情報の保護に努める義務がある人で「そんな法律があることは知らなかった」と答えた人も2人いた。 一方、「条文の内容をほぼすべて理解している」と答えた4人中の3社(いずれも民間企業)ではプライバシーポリシーを策定していなかった。
ここは主に、個人情報データベースに対する外部からの脅威に対しての対策状況を確認しているが、回答者の3割がウィルス対策やファイアウォールの設置さえも実施していない。それでいて「インターネットとの隔離」が5割程度にとどまっている。また、「サーバールームの物理的なセキュリティ対策」が3割程度であることは、内部的なセキュリティ対策がそれほど重要視されていないことの現れではないかとも思える。
ここでは個人情報を入手する場面と利用する場面おけるセキュリティ対策について確認しているが、7割近くの組織では個人情報を入手する際に「SSL通信」を利用していない。「重要な情報ファイルへのアクセス権限」を設定している組織も5割にとどまる。さらに「個人情報データベースの利用状況」を監視している組織は2割程度しかなく、企業からの顧客情報漏洩があった場合に実行者を特定できない原因はこの辺りにあるのではないかと推測できる。
今回の回答者の82%が民間企業であり、そのうちの35%は5000人以上の個人情報を保有する「個人情報取り扱い事業者」に該当することに鑑みると、この調査結果は必ずしも理想的なものとは言えないだろう。サーバーに対するセキュリティ対策等については組織の規模や経済的事情も影響すると思われるが、個人情報を取り扱う人の意識に関しては、さらなる向上が望まれるところである。
個人向けのアンケートでも同様の質問をしているが、個人も法人も回答者の約7割以上が「違法な情報発信者に対する監視・取締りの強化」と回答していることから、個人情報流出による人権侵害に対しては、モラル教育や事後的な救済措置よりも、発信者に対する取締りを強化することが必要と感じている人が多いと思われる。 尚、2位以下の順位は個人と法人で微妙に異なっており、個人では「プロバイダに対し情報の停止・削除を求める」が2位、「相談窓口を充実させる」が3位となっているが、法人ではそれらは啓発活動やマナーの向上が重要であると答えている。