第112回 プライバシーマーク取得の全体像(2)
■プライバシーマーク取得の全体像
どのようなステップがあるかご説明します。前半戦・後半戦と、私たちは大別しています。前回にひきつづき、各ステップを説明します。
1.前半戦(業務分析からリスク分析まで)
□ステップ3:個人情報の洗い出し
・完成した業務フロー図に、重要な情報を書き込んでいきます。初期段階ではラフでもいいので、どんどん記入していきます。個人情報だけで限らず、重要な情報全般に枠を広げて作業するのがポイントです。
・会社によっては、取り扱う個人情報よりはるかに重要な営業秘密などの情報資産があります。ヘンな言い方ですが、個人情報を守る仕組みを作る「ついでに」重要な情報も守ればよいと考えてみましょう。
・また、一回洗い出し作業をやっただけでは完全ではありません。角度をかえて仕事と情報の関係を見つめ直します。お客様情報に加え、社員情報も洗い出します。
・情報のライフサイクル(収集、利用、保管、委託、提供、廃棄)を学び、同じ情報でも状態が移り変わることを、フロー上で確認していきます。
・仕事の流れと個人情報の扱いが縦糸と横糸で編まれたように、立体的に読み解ければ、「チェックしなければならない管理点はどこか?」「仕事がすすむと情報の価値が高まるならば、どの時点の情報が最重要なのか?」が明らかになります。
・例えば、顧客満足度向上(CS)のために収集したお客様アンケートについて、実際にどの部署がどのように扱って、どのようなアウトプットをお客様にレポートしたか?など、流れを追うことで改善策が見えてきます。
・企業で取り扱う個人情報を一覧表にまとめるコンサル会社は多いですが、個人情報だけを抜き出して分析すると実際の業務がイメージできなくなり、リスクが実感できないことがあります。面倒ですが一度フローに書き込み、あとでエクセルなどにまとめればよいでしょう。
□ステップ4:リスク分析と評価
・業務フロー上で明らかにした個人情報に対して、リスクを洗い出します。まずは、プロジェクトメンバーの感覚値でリスク分析を行うと、掴(つか)みにくいリスクを実感できます。現在の情報の取り扱いとのギャップを認識するための作業です。
・4つの安全管理措置(人的、技術的、物理的、組織的)を学び、JISQ15001と個人情報保護法、経済産業省ガイドラインの要求事項について、理解を深めます。要求事項と現実との乖離(かいり)、つまり安全管理措置を行っていないもの、対策が不十分な事項を洗い出します。
・JISQ15001ではリスク評価の指針が足らないため、ISMSの概念(情報資産、脆弱性、脅威)を活用してリスクを評価し、軽減策を検討します。
□ステップ5:マニュアル・チェックリスト作成
・現場のスタッフが業務で使用する、業務マニュアル・チェックリストを新規に作成、または既存のチェックリストを改訂する作業です。
・ダブルスタンダードを作ると現場で運用できないことは誰しも理解しているものの、大企業になるほど縦割り行政になりやすいものです。現場の目線に合わせたチェックリストを作成すべく、本社スタッフ、責任者の、「おれ我、おれ我」の「我」をとればいいのですが…。
・現場で使ってもらうためには、仕事のヌケモレがなくなって業務がはかどるチェックリストに仕上げればよいのです。そのために、今やっている仕事を見つめる必要があるのです。様々な帳票や記録用紙を作ります。
2.後半戦(CP文書作成から申請書の作成まで)
□ステップ6:CPマップ、規程類の作成
・CPマップ、個人情報保護規程、細則、各種の管理規定書を作成し、全社でレビューします。
□ステップ7:CP運用
・全社でCPを試行運用し、ギャップ分析と対応策をまとめます。
□ステップ8:監査
・内部監査員の教育を行います。監査を実施してCPやチェックリスト類を見直します。
□ステップ9:申請書類作成
・申請書を作成し、JIPDECなど審査機関へ提出します。
