第99回 どんな対応してますか?(8)
個人情報保護法の第20条(安全管理措置)の対策を行うとき、次の4つの角度から検討します。
(1)組織的 安全管理措置
(2)人的 安全管理措置
(3)物理的 安全管理措置
(4)技術的 安全管理措置
常にセンシティブ(機微な)情報を取り扱う業務のため、個人情報漏えいを防ぐために、相当にIT武装した上場企業にお邪魔しました。
この会社の「0円」でできる、安全管理措置を発見しました。
さて、情報のライフサイクルという言葉をご存じでしょうか?
例えばお客様等の情報主体から個人情報を収集し、営業やサポートなどで活用して最後に廃棄するまで、大きく6ステップあります。
・情報を、収集する
・情報を、利用する
・情報を、保管する
・情報を、委託する
・情報を、提供する
・情報を、廃棄する
情報を保管するとき、安全管理措置は次のような点を留意します。
(1)組織的 安全管理措置
:手続きの明確化と手続きに従った実施及び作業担当者の識別、認証、権限付与の実施状況の確認
(2)人的 安全管理措置
:従業者の役割及び責任についての教育・訓練
(3)物理的 安全管理措置
:離席時の個人データを記した書類、媒体、携帯可能なコンピュータ等の机上等への放置禁止
:個人データを含む媒体の施錠保管
ルールを決めても、チェックが甘くなるのは、忙しい時と帰り際です。
「仕事が忙しくて、そんなヒマはない。」
「彼女が待っているので、それどころじゃない。」
帰り際に、相互チェックが働く仕組みを導入しましょう。
気づきを促すのは、このカード。
机上のモノを整理整頓し、紙の情報、メディアの情報(FD、CD、保存データ)の所在を、確認してから退社するのです。
最後にこのカードをパソコンに立てかけて、机上にモノは一切なし。
椅子も机にしまって、一糸乱れず整然としていました。
全員キレイだと、一人だけ乱雑にしにくいものです。
この素晴らしい結果をもたらすためには、過程(プロセス)があります。
・個人データを記した書類、媒体、携帯可能なコンピュータ等の机上等への放置を禁止し、
・従業者の役割及び責任についての教育・訓練をし、
・その手続きに従った実施がされるまで、
徹底を図ってきたのです。
0円カードと、そのプロセスを、真似させて頂きましょう。
