Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

個人情報は過保護になりすぎてはいけない

 DIAMOND ONLINEの3月20日記事を読んでいて興味深かったので取り上げてみます。

diamond.jp

上記記事を読んでいて思ったのが、例えば

「もしよかったら、担当者の方の名刺を見せていただけますか?」とやんわりとお願いすると、名刺を見せてくださった。しかし、名刺を差し出したK氏の様子に目を疑った。K氏は、名刺の社名ロゴ以外の6割方を指2本ほどで隠して、私に向けてきたのだ。

は、まだ体験した事がありませんが、教育が行き届きすぎた企業だったら、こうすべきと教わるのだろうなぁと思いましたし、

初めてセミナーを主催してくれる機関から、事前の打ち合わせで必ず言われることは、「個人情報保護の観点から参加者名簿はお出しできません」ということだ。

は・・・自分の体験上でも『個人情報保護』を理由にして色々と制約が増えてきているなぁと感じることのひとつに、こうしたセミナー参加者名簿は該当します。しかしセミナー終了後に講師の方と交換した名刺は・・・個人の取り扱いなので、個人情報保護法の対象外、、、

法律は何を守りたいのか?という観点では改正個人情報保護法の概念を外れた世の中の運用になり始めている気がします。そうした意味では、記事で書かれていた、

 最近、とみに増えたこうした体験は、私だけでなく、多くのビジネスマンが実感していることではないだろうか。そして、個人情報取り扱いへの行き過ぎた配慮が、ビジネス伸展を阻害しているケースも出ているのではないかと感じる。

この部分はとても共感します。

 

◆キタきつねの所感

余談ながら、セキュリティ絡みのブログなので、ただの感想を書いていてもアレだと思いますので、個人情報保護法がセキュリティにどう影響するかについて懸念している部分を考えてみますと、、、例えば転職者を前の会社に紹介かけても情報を得られない、こんなケースです。

 

f:id:foxcafelate:20180422164052j:plain

 

f:id:foxcafelate:20180422164102j:plain

 (日本の人事部HPのQ&Aから引用)

 

海外のセキュリティ専門家と話した時に、日本がスパイ天国なのが良く分かる、と言い切られたのもこんな日本の事情を説明した時でした。履歴書に嘘を書かれたら・・・そして前の会社は個人情報保護を盾に情報開示を拒まれたら・・・その履歴書の嘘はどうなるのでしょうか?個人としては職歴詐称私文書偽造の罪に問われるのでしょうが、それを知っていて、意図的に利用しようとする悪意のある攻撃者(スパイ)である場合は・・・どの程度防げるのでしょうか?

そうでなくても、例えば前の会社で大きな事件を起こして、新しい会社に面接に来た方が、履歴書の賞罰欄に意図的に”書かない”場合は?あるいはそれが防げたとしても、間に派遣会社か破産した会社名などを挟んだ場合、人事部門は全ての前勤務会社に確認を入れるでしょうか?こう聞くと、あまり良い顔をされないご担当者も多いのではないでしょうか。

個人情報保護は大切な事ではありますが、それを重視しすぎるあまり、他のリスクが高くなってしまう可能性が懸念される事件も出始めてきています。(いろいろ漏れ伝え聞きます)法律は法律ですので仕方が無い部分もありますが、法律の許す範囲内でリスクを減らす手段が何があるのかを考えるのも個社にとって重要なのかも知れません。

 

 

守られた個人情報のイラスト

 

更新履歴

  • 2018年4月22日PM(予約投稿)