國領先生が講演するというので、そのお供で、某企業の個人情報保護法関連のセミナーに行きました。最近、筑波大の新保先生とお話する機会があったり、自分でもプライバシー関連で論文を書いているとこなので、改めて、個人情報やプライバシーについて思い巡らせることが増えてます。
自分の論文では、先日、IT系の一大イベントで行われたプライバシーに関する意識調査のアンケートを集計してます。その結果では、RFIDタグやリーダより、むしろ、データベースのセキュリティを懸念する声が多数派でした。RFIDについてそれなりに知識のあるIT関係者には、ハード・ソフト・運用を含めたシステム全体のセキュリティの脆弱性の方が危惧されてるということになります。
今後は、データクリーニングポリシーのようなものも必要になってくるのでしょう。個人情報保護法で規定されている個人情報の利用目的の明確化などに加え、いつまで個人情報を保管するのか、いつ消去するのか、を明文化することです。
個人情報保護法の規制対象は、6ヶ月以上、5000件以上の個人情報を保有する”事業者”です。イベントや短期のキャンペーンなどでは、思い切って半年以内に収集した顧客データを抹消する勇気も必要でしょう。使わない顧客データでも、そのままDBに残している組織や、10年以上前のデータがテープなどに移され倉庫で埃をかぶっている組織も多いのでは?
個人情報保護法の施行は、膨大な過去の顧客データの整理にちょうど良い機会かもしれません。
