携帯電話の紛失・盗難対策と業務効率化の両立

携帯電話の紛失・盗難対策と業務効率化の両立が課題に

2008年3月25日に郵便・信書便事業者向けの個人情報保護ガイドラインが告示・施行されている(「郵便事業分野における個人情報保護に関するガイドライン(案)」及び「信書便事業分野における個人情報保護に関するガイドライン(案)」に対する意見公募の結果参照)。「電気通信事業者」「郵便事業者」「信書便事業者」のいずれも、一般企業が個人情報を取り扱う際に「外部委託先」として利用しているはずだ。個人情報管理者は委託先管理の観点から各ガイドラインを一読しておくことをお勧めする。

さて、クライアント端末の観点から、個人情報保護法施行後の変化について考えてみたい。

表には出てこない携帯電話/PHSの紛失・盗難による個人情報流出

2008年4月8日 テルウェル西日本は、同社九州支店の社員が帰宅途中に、会社情報と個人情報が入力された社用の携帯電話1台を紛失する事故が発生したことを発表した。

  1. 「社用携帯電話紛失による個人情報事故等の報告とお詫びについて」(http://www.telwel-west.co.jp/gaiyo/200408.html)

個人情報保護法の施行後、たとえ1台であっても、ノート・パソコンの紛失・盗難による個人情報流出が発生したら対外公表するのが一般的になってきた。だが、業務用携帯電話/PHSについて見ると、個人情報流出事故が対外公表されるケースは多くない。

昨年起きた業務用携帯電話/PHSの紛失・盗難に起因する個人情報流出事故を調べたら、以下のような例があった。

  1. 2007年2月6日:九州電力「社用携帯電話の紛失について」(http://www1.kyuden.co.jp/press_h070206-1)
  2. 2007年9月3日:菱洋エレクトロ「社用携帯電話紛失による個人情報紛失の可能性について」(http://www.ryoyo.co.jp/pdf/ir102.pdf)
  3. 2007年9月20日:東京ガス「お客さま情報が入った『業務用携帯電話』の盗難被害について」(http://www.tokyo-gas.co.jp/Press/20070920-01.html)

対外公表しているのは、個人情報保護への取り組みに積極的な企業ばかりだ。例えば、テルウェル西日本や菱洋エレクトロのように、プライバシーマーク、ISMS(情報セキュリティマネジメントシステム)規格「ISO27001」などの認証を受けて、個人情報管理の「PDCAサイクル」を回している企業。あるいは、関係者を装った詐欺・窃盗など、流出情報による二次被害のリスクが高い電力・ガス会社などだ。これらは氷山の一角であり、実際には、相当数の企業が個人情報を含む業務用携帯電話/PHSの紛失・盗難に遭っているのではないだろうか。

総務部門にも求められる個人情報保護/情報セキュリティの知識

2008年3月13日 びわこ銀行は、現業部門の拠点長や渉外担当者に貸与している業務用携帯電話を、すべてGPS(全地球測位システム)機能付きの指紋認証式携帯電話に変更したことを発表した(「現業部門の全拠点長・渉外担当者にGPS機能付き携帯電話を貸与」http://www.biwakobank.co.jp/individual/whatsnew/pdf/20080313.pdf)。ビジネスユースの観点から見て、携帯電話/PHSサービスの強みは、エンドツーエンドのセキュリティ機能やリアルタイムのコミュニケーションを生かした機能にある。遠隔操作によるロック/利用中断機能やGPSによる紛失・盗難防止機能を生かしながら、端末側にデータを残さないシンクライアントとして、携帯電話/PHSを導入/利用できれば、モバイルワーカーの業務効率化だけでなく、個人情報保護対策上のメリットも大きい。

外回りの業務が多く、厳格な個人情報管理を要求される金融機関、製薬企業、運輸会社などでは、携帯電話/PHSをクライアント端末として利用できるように、グループウエア、営業支援機能などの情報系システムを再構築するケースが増えてきた。モバイルワーカーの生産性向上と個人情報保護の両立を図るためには、情報システム部門だけでなく、業務用携帯電話/PHSの選定・契約に関わる総務部門にも、個人情報保護/情報セキュリティの知識が必要だ。複雑な技術をシンプルかつ分かりやすい形で提供することが、通信キャリアやベンダーの課題となっている。