第86回 個人情報保護法 直前講座(5)
あと3週間。
個人情報保護法の完全施行まで、残りわずかです。
4月1日までにやっておいた方がよいことを、
いっしょに復習していきましょう。
では、「直前講座」第5週目です。
●その5「特権、例外は認めない」
■社員の場合
個人情報保護に関する教育を、定期的に実施します。
最低1年に1回。
扱う情報の価値やリスクによって、教育の頻度を増やしましょう。
「はい、教育をやりましたよ。」でオシマイではなく、
社員が内容をどの程度理解したのか確認しておきましょう。
小テストを行うと、緊張感があっていいでしょう。
新規雇用の場合には、採用面接時から勝負です。
あなたの会社のコンプライアンス(法令遵守)や個人情報保護の考え方、
日々実行している内容についてお話し下さい。
会社の存在意義である企業理念を充分に説明し、
コンプライアンスや個人情報保護の仕組みが欠かせないことを、
しっかり説明することが重要です。
人間は、知識を得ただけでは、決してその通りに行動しません。
「うわーっ、こりゃ意外に大事なモンだったんだー!」
と価値観が腑に落ちた段階で、はじめて行動につながります。
ですから、これから一緒に働く仲間に、ちゃんと納得してもらうことが、
個人情報保護の原動力になります。
初めが肝心といいますし、会社全体のベクトルも合いやすくなります。
万一、個人情報を漏えいしたときの罰則規定や、
誓約書へのサインは、そのため「方便」の一つと言えましょう。
■派遣社員、パート、アルバイトの場合
長期間の雇用であれば、社員と同様の扱いで対応しましょう。
職務区分で業務や待遇に大きな差がある会社もありますが、情報漏えい事故を起こしたときには、「モレはモレ」です。
一方、派遣社員やアルバイトなど、1カ月や1週間あるいは数日間など、
短期雇用の従業員も少なくありません。
長時間の教育訓練は、業務やコスト面で難しいから…、
と手間暇を惜しんでばかりでいいのでしょうか?
情報漏えい事故を起こした時には、職務区分は問われません。
「だって、この事故は短期アルバイトの○○君がやったから…。」
と情状酌量してくれません。
「あなたの会社が漏えいした。」という事実だけが残ります。
個人情報に関する会社の取り組みと罰則規定を説明し、
秘密保持に関する誓約書に署名してもらいましょう。
それよりも、必要のない個人情報に触れさせない、体制づくりが大切です。
■社長、役員の場合
これは、強敵です。
私もその一人ですが、中小企業のおっちゃん社長は、特に難しい。
なぜか?
絶対的なポジションパワーがある上に、オレがオレがと「我」が強く、
部下の言葉を聞き入れたり、会社のルールを守らない方が多いからです。
多くの企業では、上位の役職になればなるほど、
閲覧できる情報や権限が多くなります。
しかも、いわゆる偉い人に限って、
「わしゃ、面倒なID・パスワードなんか、覚えておれん。」
と、氏名や誕生日など、誰でも推測できる安易な文字を、延々と変更しないで使っているものです。
ルール違反がまかり通っている事実に気づいた担当者が
「社長、それって、マズイんじゃないっすか...?」
と感じたとしても、なかなか指摘できず、また説明しきれないものです。
だから、社長や役員にこそ、
外部の専門家から適切な教育を施してもらうべきです。
また、不要なアクセス権限があれば、個人情報が漏えいした時に、
社長も役員も容疑者の1人になる可能性を突き付けて、
必要のない特権を付与しないことが得策と思います。
■システム責任者の場合
これは、盲点です。
「システムは、○○さんにお任せだから。」
自分はITは苦手、システムは他に分かる人がいないからと、
1人の担当者にまかせっきりになっていませんか?
システムの責任者は、社内のどんな情報にもアクセスできる、
いわば絶対的な特権者です。
システムが分からない従業員にとって、
システム責任者が何をしているのか、全く分かりません。「重要なデータのバックアップを取っている」のか、
「個人情報をCD-Rにコピーして持ち出そうとしている」のか…。
単に、性善説で捉えて、「あいつは大丈夫や」と放置したり、
単に、性悪説で捉えて、「あいつは危険や」と疑心暗鬼になるのではなく、
「仕事をしやすく、かつ出来心を起こさない環境を作ってやろう!」
と仕事の流れを整備してあげましょう。
教育、誓約書、罰則規定、ペアオペレーション(2人で作業する)は、
その手だての一つに過ぎません。
すべてに共通することは、
職位・権限・業務にかかわらず、「特権や例外」を作ってはダメです。
「オレだけは例外」がまかり通ると、いずれ全員OKになります。
社長が率先して、みんなで決めたルールを守ることです。
