第113回 Pマーク取得プロジェクトの立ち上げ
プライバシーマーク取得のための、最初のポイントは「プロジェクトの立ち上げ」です。
Pマーク取得の範囲は全社が対象ですので、取り組みは全社的に行う必要があります。個人情報保護の重要性や意義について、従業員に説明すると、たいてい総論では賛成してくれるでしょう。
しかし、いざ個人情報保護体制を構築する段階になり、何かを依頼すると、「オレは、忙しいから…。」「これは営業の仕事じゃない!」
たちまち反対派に転じて、抵抗勢力になります。Pマーク取得についても、特定の人や部署に任せきりにして、すぐに忘れてしまいます。
「ITが絡んでくるし、システム部の仕事でしょコレ。」
「営業は動かないし、仕方ないから、総務部でやろうか…。」
特定部署のメンバーで作業すると、プロジェクトは早く進行するかもしれませんが、全社的な本当の仕組み作りは、いつまでたってもできません。
先日、Pマーク申請直前の会社で社内セミナーをしましたが、若手メンバーの多くが、自社がPマークを取得しようとしていることも明確に理解しておらずビックリしました。
プロジェクトメンバーには、営業部門など個人情報を扱う現場を熟知しているメンバーを巻き込んで、スタートしたいものです。
■プロジェクトのメンバー
(1)個人情報保護管理者(CPO:Chief Privacy Officer)
個人情報保護に関する最高責任者です。
実際の業務に関する役職に関係なく、個人情報に関しては最も強い権限を持つ人です。全社にハッキリと示すために、個人情報保護管理者は社長が任命します。
もし、安易に力のない担当者を個人情報保護管理者に任命すると、他部署との調整やルールの徹底などにおいて、ポジションパワーと人間関係に負けてしまい運営に支障が出てくることがあります。
現場の分かる役員、影響力ある実力者、成長著しい若手役職者などから、選出することが基本だと思います。
(2)監査責任者
個人情報保護の仕組みが適切に運用されているかどうか、定期的に監査する仕事です。公正な判断が求められるため、実際に個人情報を取り扱う部門とは関係のない部門の人である必要があります。
ただし、必ずしも監査責任者自身が、現場で監査の業務をする必要はなく、監査担当者を設置して実施することもできます。
監査担当者は、被監査部門と関係ない部門であれば、個人情報を取り扱う部門の従業員でも構いません。
課長職の方には、監査担当者に立候補することをお勧めします。
しっかり監査するためには、事前に監査部門の業務および、コンプライアンス・プログラムを理解しておく必要があります。
通常は知ることができない業務や意志決定のあり方を学ぶ、絶好の機会といっていいでしょう。経営者マインド、ベンチャーマインドをもった方にはチャンスです。
(3)システム担当者(責任者)
情報システムの発達は、情報処理の効率化などプラスの効果をもたらしてくれた半面、1つ操作を間違えば大量に個人情報が漏えいするという危険をはらんでいます。
社内・社外のシステム環境を整備し、安全な取り扱いを社内に徹底するために、情報システムに精通した人は不可欠です。
(4)総務、人事部門担当者(責任者)
個人情報というと、顧客情報をすぐに連想しますが、従業員情報も個人情報です。従業員情報は、健康診断結果や年収、家族構成、銀行口座など、センシティブな情報も含まれ、取り扱いには注意が必要です。
従業員情報を扱う部門も、プロジェクトに入る必要があるでしょう。また、規程等の文書作成、オフィスレイアウト等の物理的安全管理措置、従業員教育にも、大きな役割を果たすことになります。
(5)各個人情報取り扱い部門担当者(責任者)
実際に個人情報を取り扱う部門の担当者が、プロジェクトに入って作業しないと、詳細のルールを策定しても運用できないことが多くなります。
現場を知らないと使えるルール&ツールになりにくいものですし、指導的立場にある部門が作ったルールに反発する人も多いからです。
プロジェクトを成功に導くために、立ち上げが肝心です。
リーダーもメンバーも、個人情報や法律の知識に詳しい必要はありません。勉強すれば、誰でもできるワークです。
リーダーと参加メンバーをしっかり選び、経営トップ自ら関与して欲しいと思います。
