2015年9月、個人情報保護法の改正案が衆議院で可決され、正式に施行されることになった。改正案は、ビッグデータでの活用の可能性が広がるところに注目が集まっているが、その一方で個人情報の保護を強化するための改正であることも忘れてはならない。多くの個人情報を扱う企業にとって、漏洩時のリスクが更に高くなることは必定だ。ここに紹介するベンチャー企業のレピカは、個人情報保護法対策の「最初の一歩」ともいうべきソリューションを開発、金融機関をはじめとする多くの企業に導入している。
個人情報保護法が改正によってどう変わるのか。もっとも顕著な違いといえるのが、対象事業者だ。現行法では、5000件以上の個人情報を保有する事業者が対象となっている。改正法では、件数の規定は無くなる。つまり、1件でも個人情報を保有していれば法律の適用対象となる。ほぼすべての企業が、個人情報漏洩リスクを抱えることになる。
また、何を個人情報とするかという規定も広がる。いわゆる「グレーゾーン」の多くが個人情報となる可能性が高い。例えば、顔認証や指紋認証などの生体認証データ。これは現行法が施行された2005年当時はあまり一般的ではなく、特に触れられていなかった。そのため、どう見ても個人情報に近いものではあるが、法律上は特に規定されていない「グレーゾーン」となっていた。
そのほか、パスポート番号や免許証番号、携帯電話番号なども個人情報となる見込みだ。また、店舗での買い物履歴や交通機関の利用履歴なども、それ単体では個人を特定できないものの、適切な情報と組み合わせることで個人の細かい行動までが特定できてしまうため、個人情報となるようだ。
当然、事業者に義務違反があった場合は罰則の対象となるが、2005年当時、多くの企業が情報漏洩の謝罪会見を開いたように、社会的な信用失墜という大きなリスクを背負うことになるため、個人情報の取り扱いには、より慎重な対応が求められることになる。
それでは、個人情報を守るために事業者はどのような対策を行う必要があるのか。システム上の漏洩対策や暗号化など、様々な対策が必要となるのは言うまでもないことだが、これらの対策を適切に行うためには、まず「企業の個人情報が現在どこにあるのか」を詳しく知っておく必要がある。それがわかって、初めて適切な対策が打てるようになる。
そこで、多くの企業が個人情報保護対策の「始めの一歩」として導入しているのが「個人情報検出ソフト」だ。企業のサーバーやPCのどこに、どれだけの個人情報が存在しているのかを洗い出すためのソフトだ。2005年の個人情報保護法施行の際にも、この手の個人情報検出ソフトは多くの引き合いがあったそうだが、2017年からといわれる改正法施行を前に、再び注目が集まっているという。
個人情報検出機能は多くの場合、資産管理ソフトなどの1機能として搭載されていることが多いようだ。しかし、資産管理ソフトとなるとそれなりの規模の製品になるため、簡単には導入できない。個人情報検出ソフトを単体で提供しているベンダーは意外と少なく、ほぼトップ3社による寡占状態だという。そのうちの1社が、2005年の現行法施行時から提供しているレピカだ。
