個人情報を保持する事は実はそうカンタンではない

最近では外食大手企業や中小企業にまで自社アプリを開発し、そこでで収集したデータをマーケティングや販促に活用する企業が増えてきました。

日本ではヨーロッパほど個人情報についての価値換算(ここで言う価値とはその個人情報を保持し続けるために必要な出費や維持費といった観点)についての意識や感度は高くはないというのが私見です。

日本でも2021年から法改正されるなど個人情報保護法についての取締が強化される動きがあり、そうも言ってはいられない環境になりつつあります。

ここでは個人情報を保持することのメリットよりはデメリット、つまりリスク度合いや必要経費に関して深堀りして見たいと思います。

個人情報とは?

詳しくは触れませんが個人情報とはつまり、『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』

と言われています。

姓(名字)だけでは誰かを特定できることは不可能ですが、、姓(名字)に「所属会社」や「住所」などの組み合わせにより個人が特定される可能性がある情報が加われば、「個人情報」とみなすことができます。最近では氏名にメールアドレスや携帯電話の番号などが含まれれば個人の特定は可能となり、個人情報となります。

お店を予約する際に最近ではメールアドレスだけでなく、呼び出しを行うための電話番号や氏名を登録する必要のある場合などはその個人情報を取り扱う企業は個人情報保護に対する対策が必須となります。

個人情報保護の対策・維持に必要な経費ってどの程度?

これが結構ポイントであり、国内企業は甘く見ている例が非常に多く、業界によっても意識に雲泥の差があります。

IT、通信、保険教育などの業界ではこれま多くの情報漏えい事故もあったなど苦い経験もしている関係でかなり敏感な対応と投資を行っており、企業側も安易に自社で個人情報を保持しようなどと考えたりはしない傾向にありますが、外食やその他業界においてはまだまだ経営層レベルが痛い経験をしていないこともあり、業界自体で個人情報を保持することに対してのコストレベルとリスク度合いを肌で感じていないという点が伺えます。

直近でも外食大手企業で機密情報関連でこういった事例もありました。

同事案は営業機密情報であり、個人情報には該当しないものの機密情報の取り扱いに関するリスク感度や管理体制に対する意識が経営層レベルでも危うい実態が伺えます。

よういった企業に属する社員自体も安易に自社で個人情報を保持し、囲い込みマーケティングに活用しようなどといったリスクとメリットのバランスを間違った安易な判断をしてしまうのではないかと推察されます。

各企業単位でせいぜい数十万人、数百万人規模の個人情報データベースを自社で保持してマネタイズし得られるメリットとデータベースを個人情報保護法に適正に則り、人的、システム的な投資を行いながらセキュリティ対策を維持管理しつつ、情報漏えい事故に対しても万全の体制で備える、または万が一の漏洩事故に備えた保険をかけていくなどのリソース、投資コストとでは到底見合わないというのが客観的な見解となります。

具体的には何にコストがかかるのか?

個人情報が漏洩した際には過去の事例からだいたいどれくらいの損害賠償や補填コストが発生するのかという点では分かりやすいと思います。

記憶にもまだ新しい教育業界で起こったベ●●●さんでの数百万人規模の情報漏えい事故では1会員あたり実費で補填や補償、お詫び代など含め約1,000円+郵送コスト+コールセンター対応コスト等々が短期間で膨大に発生したと言われていますが、更にデータベースに万が一会員の医療情報や家族情報などが含まれていたりした場合、更にコストは膨れ上がっていくことになります。

一方で個人情報を企業内に保持管理しておくために必要となる維持費についてはあまりイメージがしづらいかと思います。

ここではざっくりとではありますが、個人情報の管理維持費については、何にどれくらいかかるかについて触れていきたいと思います。

1,個人情報の適切な管理(個人情報の管理のために必要となるシステムやサーバー等)に必要な費用各種

主に企業内に情報をデータで安全な状態で保存更新するための特別なセキュリティ対策を実装したサーバーの構築や維持コストは当然のことながら、データを取り扱う際に該当部署に入退出できる社員を限定し管理しなければなりません。

そのためには主に

・個人情報データベースに関して情報漏えいを防ぐための情報セキュリティに配慮した輸送費用

・アクセス制限の設定など、システムの構築のために要した費用

・入退室管理システム等の機器など物理的な管理対策のための投資や維持費

 などが避けられない費用としてまず考えられます。

2,入退室管理システム等の機器など物理的な管理対策のための投資や維持費

取り扱うデータべ-スの規模とデータを保管管理する企業に在籍する社員数や拠点数にもよりますが、個人情報のデータベースが十万件(人分)レベルであれば社員数数百名規模であれば年間で最低でも数千万~億円規模は覚悟する必要があります(逆に数先名規模にも満たない50名、100名規模の企業が個人情報を自社で保持することは維持費がかかるというよりは一切触れないほうが良いレベルだと思われます)。特に認証システム費用は高コストのものが多く導入負担も大きい領域となります。

入退出や認証システムに伴う設備投資の内訳としては

・個人情報の入った端末や保管物の持ち出し等を制限するためのキャビネット、シュレッダー、ノート PC 固定用ワイヤー設備費

・執務室内セキュリティエリア造作、リノベ費用(「セキュリティ区画(一定レベル3以上)用個人情報専用保管ロッカー等)

・社員の持ち出しを制限、監視するための私物用ロッカー設置、監視カメラの設置

・セキュリティ区画(レベル 4以上での)サーバ室用増設サーバラック増設台数分やクライアント用暗号ソフト導入保守費用

・社内のマシンルームに指紋認証装置設置

・サーバルームへの監視カメラシステム

・入退室管理装置だけでなく、その部屋にはいるための2 ケ所のドアへのリーダ設置費用

・データを取り扱う社員を特定し行動を管理するための磁気カード付き社員証の整備、維持費

・指紋認証装置、駐車場の監視センサー費用

事例として約3,000名規模の従業員を抱える規模の企業では、

・監視カメラ(約 1,000 台)、指紋認証装置(約 700 台)、私物用ロッカー設置などで導入費用で約 6 億円を要し、これらの機器装置等の保守点検費用として毎年約 2,000 万円を要している。それらの規模の導入、維持費を全国の拠点毎に実装していく計画とのことで相当な経費がセキュリティ対策費用が今後も発生していくと見られているようである。規模にも店舗網が全国規模となるチェーン店では不特定多数の従業員が店舗内事務所にも同様に出入りすることが想定されることから事業所レベルでのセキュリティ対策は避けられないものと考えられる。

3,情報セキュリティに配慮した輸送サービスに関わる費用各種

個人情報を含むデータや印刷物の輸送サービスの利用頻度や輸送対象となる商品のセキュリティ要求度によって事業者間の差が著しい領域とも言えます。業種によってはこの領域だけで毎年数億円以上もの追加負担を仕入れられているケースがあります。

・メール車(リース料)

・USB キーロック、遠隔消去、自動消去システム費用

・PCのアクセス制限システム、ハードディスクの暗号化などのノート PC 盗難対策、メールの誤送付のチェックシステム改修保守費

・基幹系システムのアクセスログ取得のためのシステム改修保守費

・車両セキュリティ(ハンズフリー、アラーム)

・情報セキュリティ便輸送費(送付物追跡機能、情報漏えい保険付輸送サービス費用)

・社内担当者運搬時の盗難防止装置や防犯ブザー設備費

・個人情報を含む有価証券・カード等の納入に係る輸送費用

・インターネット接続環境強化費(オプション費用)

・契約情報印刷時におけるマスキング処理情報システム改修費

・社内情報システム構築専任組織人件費設備費維持費

事例では1,500名規模の従業員を抱える企業では

敷地境界セキュリティ、入退室管理装置等で初期導入費用として1億6千万円を要し、社内で取り扱うパソコンのセキュリティワイヤーやデータ媒体搬送用ケース等に約500 万円を要することとなった。

4,個人情報取り扱いに関する社内啓発パンフレット、教材等の作成費用各種

・社内規程変更改修コンサル費

・情報システムのセキュリティに関する小冊子を作成費

・コンプライアンス・ハンドブック、プライバシーポリシー策定コンサル費

5,個人情報取り扱い主任者他取り扱う社員の資格取得支援のための教育費用各種

・ISMS 内部監査員研修 受講費と受験料+コンサル費

・ISO 審査対応費用

・eラーニングシステム導入費

・個人情報取扱資格試験(社内資格)のためのシステム等の維持管理費

6,USBキーロック、遠隔消去、自動消去システムなどの導入費用各種

初期数千万円規模、ライセンス維持費用年間数千万規模が必要となる。最もコスト的に重くのしかかる領域

・消去ソフト、・USB メモリによる PC ロックと暗号化システム導入費

・PC 監視システム、情報漏洩防止ソフトの導入費用

・ノート PC のアクセス制限システム導入費用

・ノート PC 暗号化ソフト、不正操作監視ツール導入費用

・セキュリティ対策ソフトライセンス費社員分

・キーロック購入費

・自動消去ツールライセンス

・USB、フロッピーディスク使用の禁止措置を全社員PC への実装費

事例では約 2,000名規模の従業員を抱える企業では、セキュリティ観点から対策を外部委託することを控え、社内で完結することを前提としており、社内情報システム構築専任組織として常時 10 名程が社内で従事させている。

それらの専任組織の固定費を情報化セキュリティ維持費として計上しているが、それらの専門部署の年間維持費は約 1 億円を要し、専任組織がノート PC のアクセス制限システム、ハードディスクの暗号化にも対応している。

7,メール管理システムやFAXの番号登録システムの導入費用各種

数千名規模の会社であれば、個人情報取り扱いに耐えうるセキュリテイレベルと堅牢性を担保したサーバ単位での再構築設計を行う必要があるため、数億円規模の改修が伴う事例も。

・メールのフィルタリング機能強化改修費用

・送信メール監視ソフト導入監視費用

8,廃棄業者への委託費用各種

データのみの管理であれば必要はないものの紙や制作物を取り扱う必要のある印刷・広告等の業種では年間数千万円単位で委託する例が多い。

・産廃業者(伝票類)への委託費用

・溶解業者委託料

・機密文書溶解処理費

・機密文書廃棄業者への委託費用

・エコボックス購入費用

9,個人情報取り扱い事業者が必要となる資格各種費用各種

・ISMS400万-1000万

・プライバシーマーク取得200万ー1200万

・その他内部監査関連委託費用、脆弱性診断費用等

・個人情報漏えい保険加入費用

結論

個人情報の取り扱いに関しては極力外部へ移管または保管できる環境構築を行い、自社では直接触れない(物理的な措置を講じておくこと)が何よりもコスト観点または情報漏えいリスクを回避する上で最善の策と言えます。

堅牢性を担保したセキュリティシステムを保持し維持管理できる体力を持った大企業が運営するプラットフォーム基盤と連携するなどし、個人情報データの保管をしてもらうことでセキュリティ対策費用や漏洩リスクを自社から切り離しつつも、マーケティング活動においは自社でもデータを一部流用できるような個人情報のデータ取り扱いに関しての座組を構築することが肝要となります。

そういった都合の良い座組を許容してくれるプラットフォーマーは国内でも一部の大企業に限定されているか、他で見つけることは相当難しいとは思われますが、自社を守る上ではそういった座組の交渉は行ってみて損はないと思います。

それと、忘れてはならないのが、

実は個人情報漏えい事故の9割は自社の従業員や関係者によるものであることはあまり知られてはいません。

外部からの攻撃による漏洩事故も割合としては一定数あるものの、大半はデータにアクセスすることができる社員、または立ち入りを禁止されている執務室に出入りすることができる関係者によって漏洩事故は起こっているのです。

つまり企業としても自社にデータがある以上は防ぎようのない事案であるという現実があるということを念頭におく必要があります。

結論として、データをどこに置くかが重要であり、自社の範疇に置くか、それとも自社とは関係のない手の届かないところに置いておき、マーケティングデータを活用だけできる座組になっているかという点が事故を未然に防ぎながらメリットを享受するために重要なファクターであると言えるのです

特に経営層においては、現場の安易な考えがあったとしても、最終的には自社で個人情報を抱え込んだとして、それをどう活用するのか、個人情報を活用しマネタイズできた場合の収益と投資コスト、維持コスト、漏洩時の損害賠償コストを考慮した上での経済合理性バランスがとれているかどうかまでを真剣に考え意思決定すべきであるといえるのではないでしょうか。