中小零細企業の個人情報保護対策とプライバシーマーク付与認定取得支援。関西一円(京都、大阪、滋賀、兵庫、奈良)で活動展開!

officeta.comのタイトルイメージ

  • ウェブ全体
  • 本サイト内
Powered by Yahoo! JAPAN
メニューライン 会社案内 お問い合せ サイトマップ トップページ  
トップページ >> 個人情報保護法の要点:個人情報保護法への対応 >>

適切な個人情報保護に努めましょう。

 個人情報保護法の要点   6/9

個人情報保護法への対応

 個人情報保護法は、2005年(H15年)4月より施行されております。
 社会人としては「知らなかった!」では済まされません。
 何か事故が起こる前に、今一度、個人情報保護の対応策を見直しておきましょう。

本当に何か対応策考えなければならないのか?
 対応策に先立ち、お客さんから「大した個人情報を扱っていないのに。個人情報保護法への対応って本当に必要なのですか?」と聞かれます。必要か不要かは、それぞれの企業で判断していただいて結構ですが、社会の情報化が進み、こうした法律が準備されることで、益々、国民の個人情報保護への関心が高まることを念頭において判断していただきたいと思います。
 筆者が企業等を訪問した際に忠告などさせていただくのですが、理解しようとしない人に幾ら説明しても暖簾に腕押しなのです。
・個人情報保護への関心が高まり、企業の適切な個人情報管理を求める風潮が浸透する。
          ↓
・個人情報漏えい等によって、プラバシーを侵害する事件が発生したとき、企業に対してその責任・保証を求める人が増える。
          ↓
・企業の業務委託先として、適切な個人情報管理をしている会社を求めるようになる。
          ↓
・個人情報保護への適切な対応ができていない企業は、顧客から、取引先から敬遠される。

どのように対応すればいいでしょう
 それでは、具体的にどんな手順で、どのような対策をとることが望まれるでしょうか?
 企業規模や個人情報の量などによって詳細は異なることになると思いますが、一般的には次のような手順で準備するのが望ましいでしょう。
1)個人情報保護責任者の選任
 法律では、従業員、委託先を含めて適切な監督を行なうことが求められています。
 また、企業で保有する全ての個人情報が対象となりますので、従業員が個別管理する個人情報等も一元管理する必要があり、適切かつ迅速な苦情処理に対応できる体制を確保することなどを考えると、全社が一丸となって取り組まなければ、事実上、安全な個人情報保護を行なえないと言えます。
 単に、掛け声だけで、こうした体制を確立することは困難ですから、相応の権限を持った人材を責任者として、計画的な管理体制を構築することが不可欠です。

2)個人情報の洗い出し
 「当社は、全顧客情報をデータベース化し一元管理しているから大丈夫」などと思っていたら、思わぬ落とし穴に陥ることがあります。営業担当従業員などが、個人で作成したお得意様リスト(個人情報)などはありませんか?
 「個人情報」と思われる情報の全てを、まずはリストアップし、その利用目的を明確にして、不要な情報は廃棄したり、個人情報の漏えい等に対するリスクを把握して適切な管理方法を定めておく必要があります。
 それぞれの個人情報について次のような項目を設定して整理しましょう。
 1、個人情報データベースの名称、個人情報項目
 2、利用目的
 3、個人情報項目と利用目的との整合性
 4、取得方法、取得経路
 5、利用者、利用部門
 6、管理者、管理部門
 7、利用目的等の通知・公開方法
 8、最新情報への更新方法
 9、リスクの把握
10、リスクに見合った適切な安全管理の方法
11、開示要求・訂正等の要求、利用停止等の要求への対応方法
12、廃棄方法

3)個人情報管理の体制の構築
 過去の個人情報漏えい事件を見ていただいても分かるように、その原因の多くは、個人情報を扱う「人」の問題です。
 例えば、こんな例があります。
 ・仕事を早く終わらせたいと個人情報を自宅に持ちかえり、自宅サーバ上で作業している中、そのサーバー上から個人情報が漏えい。
 ・個人情報ファイルを車で移送中、車上に放置して休憩中、車上荒らしに遭い個人情報ファイルが盗難。
 ・個人情報を記載した書類を通常ゴミとしてゴミ置き場に放置、悪意ある者が持ち出し脅迫。
 このように一社員の不用意な行動が、企業の存続さえ左右しかねない大きな事件に発展する可能性もあることを認識していただきたいと思います。
 そこで、個人情報を扱うためのルールを定めたり、その運用を監視したり、意識の向上のための教育を実施したり、場合によって厳しい罰則を与えたりするなどなどなど個人情報安全管理のためのマネジメントシステムを構築することが不可欠です。
 次のような項目について、自社にあったマネジメントシステムを構築しましょう。
1、個人情報管理に関する組織体系(苦情処理手順等含む)、管理者の権限と責任など明確にし、全社で取り組む体制を構築する。
2、個人情報の管理方法、利用手順などをルール化する。
3、個人情報の適切な扱いに関して遵守できない従業員に対する罰則規定を設ける。
4、個人情報保護に関する意識の向上、モラルの維持、安全管理(コンピュータセキュリティー等含む)に関する知識の習得など、継続的、計画的な教育プログラムを作成し実施する。
5、ルール等の運用を監視し、必要に応じて改善する。

4)プライバシーマークの取得
 しっかりとしたマネジメントシステムを構築し、きちんと運用できているなら、広くアピールしたいところです。
 そこで、「(財)日本情報処理開発協会」が認定する「プライバシーマーク」を取得することは、自社における個人情報保護に関するマネジメントシステムの運用面からも有意義であると思います。
 プライバシーマークについては、別項で詳しく紹介いたします。

 企業側の意識で取り組んでいては、どうしても合理的、効率的視点が優先され、また、本業に追われる中で杜撰な管理も止む無しとされてしまう可能性があります。
 「もし、ここに私の個人情報が含まれ、これが改ざんされたり、漏えいされた、あるいは不正利用されたら・・・」と、常に当事者の立場にたって考えることが必要であると思います。
 ここにも、「顧客の視点」にたった企業経営が実行されるようにしなければならないと思います。
 また、個人情報保護への関心が高まることは目に見えており、今後、個人情報の不適切な管理が企業の存続をも左右しかねない時代が訪れることを認識する必要があります。

 ←前のページへ  次のページへ→
トップページ | 会社案内 | お問い合せ | サイトマップ | リンク集 | プライバシーポリシー