ロジビズ :月刊ロジスティックビジネス
ロジスティクス・ビジネスはロジスティクス業界の専門雑誌です。
2005年7号
特集
個人情報保護法の衝撃 物流企業の新たな選別条件に

*下記はPDFよりテキストを抽出したデータです。閲覧はPDFをご覧下さい。

JULY 2005 10 物流企業の新たな選別条件に 相次ぐ漏えい事故や個人情報保護法の施行を受けて、荷 主企業は個人データの管理を強化している。
その影響は物 流企業にも及んでいる。
荷主を満足させる情報管理体制を 持たない物流企業は、もはや契約を維持できない。
(刈屋大輔、岡山宏之) 業務委託契約の見直しを要請 今年四月に完全施行された「個人情報の保護に関 する法律」(個人情報保護法)が物流分野にも波紋を 拡げている。
この法律は二〇〇一年三月に初めて国 会に提出され、その後、曲折を経て二〇〇三年三月 に成立した。
日常的なビジネスで使われている個人の 住所や氏名、電話番号といった情報を保護する目的 で制定された。
個人情報とは、「特定の個人を識別できる情報」を 指す。
私生活に関するか否かにかかわらず、また事実 かどうかとも無関係に、個人を特定できる情報であれ ばすべて個人情報とみなされる。
個人情報保護法が規 制の対象としているのも、通常の企業活動で使われて いるごく当たり前の情報だ。
物流とは縁遠い法律と思っている人も少なくないは ずだが、実はきわめて密接な関係にある。
実際、個人 情報保護法の完全施行が秒読み段階にはいった昨年 末くらいから、物流企業のもとにはこれまでの業務委 託契約を見直したいという要請が相次いで荷主から寄 せられるようになっている。
その多くは既存の契約の中に「個人情報保護に関 する条文」を新たに加えてほしいというもので、条文 の中身は「当社(荷主企業)が提供した個人データが、 貴社(物流企業)側の管理ミスなどが原因で外部に 流出した場合、貴社が一切の責任を負う」といった内 容だった。
同意できない場合には契約の打ち切りも辞さないと いうスタンスで迫られ、大半の物流企業がこの提案を 丸呑みする格好となった。
しかし本来、荷主企業が求 めていたのは新しい契約書に?サイン〞することでは ない。
契約内容の見直しを通じて、個人情報を外部 に漏らさない管理体制を物流企業に確立させることこ そが真の狙いだ。
テレビ通販大手の「ジャパネットたかた」は商品の 全国配送を大手物流会社二社に委託している。
この 二社とは定期的に情報管理についての勉強会・報告 会を開催している。
吉田周一常務執行役員が直接、抜 き打ちで物流会社の営業所に出向き、情報管理体制 をチェックすることもある。
その目的は、出荷用に提 供した顧客データがきちんと抹消されているかどうか を確認することにある。
こうした取り組みは昨年三月に公になった顧客デー タ漏えい事故がきっかけだった。
ジャパネットの発表 によると、「社員二人が九八年頃、特定の社員しか知 り得ないIDを使って顧客情報にアクセスし、CD ― ROMにデータをコピー。
それを社外に持ち出してダ イレクトメール製作会社などに販売していた」という。
漏えいは約五〇万人分に上った。
これを受けて、同社 の高田明社長は会見を開き、「私の監督不行き届きで 深く反省している」と謝罪した。
代償は大きかった。
同社は事件発覚後、約一カ月 半にわたって営業活動を自粛。
独特な言い回しで商 品を売り込む高田社長はしばらくの間、ブラウン管か ら姿を消した。
その結果、同社は年間約一五〇億円 の売り上げ減を余儀なくされ、八六年の創業以来続 けてきた業績の倍々ゲームにも終止符が打たれた。
失ったものは収益だけではなかった。
最も大きな痛 手となったのは?お茶の間〞の信頼を損なってしまっ たことだ。
同社はテレビの向こう側にいる一般消費者 を相手に商売をしている。
それだけに「消費者たちに 『ジャパネットは信頼できない』というイメージを抱 かせてしまったことが一番の損失だった」と吉田常務 は述懐する。
第1部 解説 11 JULY 2005 特集1 個人情報保護法の衝撃 信頼回復に向けた対応は素早かった。
同社は事件 発覚後すぐに「情報セキュリティー委員会」を社内に 設置。
コンプライアンス部担当役員としてCPO(チ ーフ・プライバシー・オフィサー)に就任した吉田常 務が中心となって、情報管理体制の再構築に乗り出 した。
顧客データを管理する情報システムへのアクセ スを大幅に制限したり、ICカードや生体認証などを 活用した入退出管理システムを導入するなど、情報漏 えいを防ぐための社内インフラ整備を進めた。
社員の意識改革にも取り組んだ。
個人情報保護に 関する事例集やハンドブックを作成してパートタイマ ーを含めた全社員に配布するとともに、社内勉強会を 繰り返し開いた。
勉強会の参加者にはレポート提出を 義務付けたほか、理解度をチェックするための試験も 実施。
合格点に満たない者には何度も追試を課してい るという。
協力物流会社にも社内と同じレベルの情報管理を 求めている。
現状の協力物流会社の物流品質には満 足している。
しかし情報の漏えいが発覚した時はもち ろん、ジャパネットにとって満足できない情報管理体 制になっているようであれば、他社への委託変更を検 討する方針だという。
今後も徹底した社員教育やハード面の整備などを 継続することで、情報管理ノウハウの社内への浸透と 管理体制のレベルアップを目指す。
「大量の個人情報 を扱う企業としてやるべきことはすべてやっていくつ もりだ。
妥協は許さない。
もう二度と漏えい事故は起 こさない」(吉田常務)と固く決意している。
業務委託先による漏えいを警戒 ここ数年、企業が個人情報を漏えいさせる事故が 相次いで発覚している。
二〇〇四年一月には信販会 社の三洋信販が一二〇万人分の個人情報を流出。
さ らにその翌月には通信サービス業のソフトバンクBB が四五一万人分のデータを流出させていたことが明ら かになった。
その後もシティバンク(流出規模は十二万人分)、ア ッカネットワークス(同三〇万人分)、サントリー(同 七・五万人分)、コスモ石油(同九二万人分)といっ た具合に、漏えい事故が立て続けに発生している(図 1)。
個人情報の流出にはいくつかのパターンがある。
一 つは社員が内部から書類のまま、もしくはCD ―RO Mなどの記憶媒体にデータをコピーして持ち出すケー スだ。
「ジャパネットたかた」や「ソフトバンクBB」 などで発生した事故はこれに相当する。
こうした?内 部による犯行〞は漏えい事故の原因として最も多いと されている。
もう一つは外部からの不正アクセスだ。
こちらはハ ッカーなど第三者が顧客情報を管理する企業の情報システムに侵入してデータを引き出すというものだ。
とりわけ情報システムのセキュリティ対策が万全でな い企業が狙われやすい。
そして三番目の要因が業務委託先からの漏えいだ。
盗難や紛失など業務委託先の不手際によって、委託 先に提供した個人データが外部に流出してしまうケー スだ。
先に挙げた「社員による持ち出し」や「不正ア クセス」は社内のセキュリティ体制強化など各社の ?自助努力〞で流出をある程度防ぐことができる。
こ れに対して「業務委託先による漏えい」には自らの監 視の眼が行き届きにくい分、漏えい事故の発生が業務 委託先の情報管理レベルによって大きく左右されると いう難点がある。
オフィス用品通販大手のアスクルも二〇〇三年一 ジャパネットたかたの 吉田周一常務執行役員 発生時期 企業名 流出規模 2003.6 ローソン 56万人分 2003.1 ファミリーマート 18万人分 2004.1 三洋信販 120万人分 2004.2 ソフトバンクBB 451万人分 シティバンク 12万人分 2004.3 ジャパネットたかた 50万人分 アッカネットワークス 30万人分 サントリー 7.5万人分 2004.4 コスモ石油 92万人分 日本信販 10万人分 2004.6 阪急交通社 62万人分 2005.4 みちのく銀行 131万人分 図1 企業による主な個人情報流出事故 各種資料を基に本誌作成 JULY 2005 12 〇月に二万数千件の顧客データを流出させた。
この事 故は業務委託先が引き起こしたものだった。
物流パー トナー企業の担当者が車上荒らしに遭い、アスクルの 顧客データの入ったパソコンを紛失。
パソコンに十分 なセキュリティが施されていなかったため、情報が漏 えいしてしまった。
事件発覚後、アスクルは全国紙に「お詫びとお知ら せ」という社告を掲載。
該当する顧客にすべて詫び状 を送った。
幸いなことに、この事件が原因で取引を打 ち切られたケースはなく、売り上げ減など直接的な被 害はほとんど受けなかったが、最先端のITを駆使す るアスクルにとってはショッキングな出来事だった。
これを契機にセキュリティ対策の全面的な見直しに 着手した。
闇雲に対策を打っても仕方がないと考えて、 I S M S ( Information Security Management System =情報セキュリティマネジメントシステム)の 認証をめざしながら、社内ルールや委託先との契約の 見直しに取り組んだ。
それ以前からアスクルでは、業務委託先と「機密保 持契約」を交わし、情報が漏えいした場合の責任の所 在を明確にしていた。
ただし、相手によっては契約の 中身が不十分なケースも見受けられた。
そこでISM Sの取得を契機に、そのような業務委託先とは改めて 契約を結び直した。
業務委託先に情報管理の徹底を 促すためだ。
漏えい事故を防ぐためには、自社の情報管理体制 をレベルアップさせることはもちろんだが、その一方 で業務委託先の情報管理体制にも常に目を光らせて おく必要がある。
企業のイメージダウンなど直接的な 被害を受けるのは委託先に?情報を提供した〞側に なるからだ。
「今後、情報管理がきちんとなされているかどうか が業務委託先を決める際の一つの基準になっていくこ とは間違いない」とアスクルの織茂芳行取締役CSO 兼社長室ネットワークリーダーは語る。
荷主のニーズを先取り こうした荷主企業のニーズを先取りして、情報管理 体制の強化に乗り出す物流企業も出てきた。
新潟県 に本社を置く中堅特積み会社の中越運送もそのうち の一社だ。
同社は今年三月にアスクルと同じISM Sの認証を取得した。
すでに九〇〇社近くが取得して いる認証だが、IT関係者が中心で物流事業者の取 得はまだ一〇件程度しかない。
ISMSは、コンピュータシステムのセキュリティ 対策のみならず、情報の取り扱いの基本方針(セキュ リティポリシー)や、それに基づいた具体的な計画の 立案・実行・見直しなどを継続して実施できる企業 や組織に対して認証を与えるというもの。
認証してい るのは日本情報処理開発協会(JIPDEC)で、取 得企業はこの公的機関から「情報管理体制は万全で ある」という?お墨付き〞を得ることができる。
中越運送では「中越メール便」事業を通じて大量 の個人データを扱っている。
今回、ISMSを取得し たのは情報セキュリティ体制の充実ぶりをアピールす ることで、新規顧客の開拓に役立てるのが目的だ。
「I SMSのような公的機関のお墨付きがなれれば、コン ペにさえ参加させてもらえないケースも出はじめてい る。
荷主企業が満足するレベルで個人情報を管理でき ていない物流企業は、これから確実に仕事を失ってい くだろう」と田村順一取締役CFS事業部長は説明 する。
荷主へのアピール材料として、「プライバシーマー ク(Pマーク)」の取得を目指す物流企業も増えつつ 小規模 中規模 大規模 小規模 中規模 大規模 5 5 5 5 5 5 20 45 95 12 30 65 5 10 20 5 10 20 30 60 120 22 45 90 事業者規模 申請料 審査料 マーク使用料 計 新規 更新時 ■プライバシーマーク料金表 単位:万円(消費税込み) 中越運送の田村順一 取締役CFS事業部長 アスクルの織茂芳行 取締役CSO兼社長室 ネットワークリーダー Pマーク取得のススメ 零細会社の社長が語る  物流会社の Pマーク 奮闘記 13 JULY 2005 ある。
Pマークとは個人情報の取り扱いを適切に行う 体制を整備している企業を認定する制度だ。
ISM Sが「情報のセキュリティ」の部分に焦点を当てて、 認証の対象を一事業所単位としているのに対し、Pマ ークでは情報の対象を個人データに限定するとともに、 認定の対象を企業単位に設定している。
こちらも認定 を行っているのはJIPDECだ。
Pマークの取得には全社的な取り組みが欠かせない。
そのため、全国各地に事業所を構える大企業には向い ていないとされている。
全社的な活動を展開する必要 がある分、取得までに膨大な費用が掛かるからだ。
実 際、すでにPマークを取得している企業は「一企業一 事業所」でビジネスを手掛ける中堅以下が圧倒的に 多い(囲み記事参照)。
現在、物流業で認定を受けているのはおよそ五〇社 で、その数は年々増え続けている。
ただし、「物流業 は他業種に比べ認定数そのものが少ない。
それは個人 情報保護への対応が遅れていることを意味する」とJ IPDECの関本貢プライバシーマーク事務局長は 指摘する。
Pマークの認定を受けるには「一企業一事 業所」の場合で、入退出管理システムの導入などハー ド面での設備投資や、申請書類の作成などを手助け してくれるコンサルタントへの報酬など、少なくても 合計で五〇〇万〜一〇〇〇万円程度の費用が必要と なる。
新たなコスト負担の発生が物流業にとってPマ ーク取得の足かせとなっている。
今後、物流企業にとって個人情報保護対策は荷主 企業との取引を維持するための絶対条件となる。
物流 企業は、ISMSやPマーク取得に向けた動きが全 体的に遅れていることをチャンスと捉えるべきだ。
ラ イバルよりも先に盤石な情報管理体制を確立できれば、 ビジネスは自然と転がり込んでくるはずだ。
特集1 個人情報保護法の衝撃 Pマーク認定までの流れ Step1 プライバシーマーク制度について理解する Step2 欠格事項に該当しないことを確認する Step3 コンプライアンスプログラムを作成する Step4 プライバシーマーク付与申請に関する書類を作成する Step5 プライバシーマーク付与申請をする Step6 プライバシーマーク付与申請の書類審査 Step7 現地調査 Step8 審査結果の通知 Step9 プライバシーマーク使用契約の締結 Step10 プライバシーマーク使用許諾事業者の公表 Pマークを取得した企業は名 刺や営業案内にこのマーク を印刷できる Pマーク取得はいまから三年ほど前に、ある荷主さ んに「おたくのように消費者向けの物流の仕事をやっ ている会社は取らないと仕事がなくなっちゃうよ」と 言われたことがきっかけだった。
Pマーク? 何だそ れは? という感じだったが、仕事がなくなると言わ れたので早速、色々と調べてみることにした。
ウチの 会社は年商一〇億円弱の零細企業。
一社でも仕事がな くなると死活問題に発展するからね。
インターネットで検索すると、たくさんのページが 引っ掛かってきた。
しかし、どれを読んでも難しくて よく分からない。
そこでPマークを認定している日本 情報処理開発協会に電話してみた。
すると「コンサル ティング会社を利用すれば、比較的スムースにPマー クが取れますよ」とアドバイスしてくれた。
すぐにP マークを専門とするコンサルティング会社に連絡して、 とりあえず会社に来てもらうことにした。
担当のコンサルタントに話を聞いて、まずビックリ したのはPマークを取得するまでに掛かる費用。
コン サルティング費用が高いのはもちろんだが、それ以上 に情報システムや入退出システムの導入に掛かる費用 の大きさに腰が抜けそうになった。
ハードでざっと五 〇〇万円。
それにコンサル費用が二〇〇万円くらいだ ったかな。
その他もろもろ合わせると、合計で一〇〇 〇万円近くの出費になることが分かった。
それでもや るしかなかった。
個人情報管理費を徴収 Pマークを取得するまでには結局、二年ほど掛かっ た。
社員研修、コンプライアンスプログラムの策定な どで一年半。
そして協会に申請してから認定が下りる までに三〜四カ月掛かった。
申請〜認定までの間に一 度、協会の審査員がやってきて、会社の事務所や物流 センター内をくまなくチェック。
改善点などを指導し てくれた。
それを修正し、申請書類を再提出してよう やくオーケーが出た。
確かにコスト負担は大きかったが、今ではPマーク を取っておいて本当に良かったと思っている。
という のも今年の一月から四月にかけて、あらゆる業種の荷 主さんから個人情報保護法に絡んだ「契約の見直し」 を求められたが、ウチの会社は何の問題もなく、すべ てクリアできたからだ。
「おたくはすでにPマークを 持っていたの? 対応が早いね」とお褒めの言葉もい ただいた。
勉強会などを通じて社員の意識も変わった。
「これ は危ない」と思われる書類や伝票は使用後すぐに廃棄 するようになった。
お陰で書類の山が消え、オフィス はいつも清潔な状態を保っている。
整理整頓の癖もつ いた。
作業の生産性も上がりそうだ。
問題は一〇〇〇万円の投資をどうやって回収するか だ。
そこで少し知恵を絞った。
「個人情報管理費」と いう項目を新たに設けて、お客さんに少しだけ負担し てもらうことにした。
物流業でPマークを取得してい る会社はごく僅か。
ということはウチの会社は他社に はないサービスを提供していることになる。
通常の料 金プラスアルファがあってもいいはずだ。
ただし、こ れはPマークが広く浸透したら通用しなくなるね(談)

購読案内広告案内