経営コンサルタント、セミナー講師、執筆 合同会社エムアイティエス(水谷IT支援事務所)
合同会社エムアイティエス(水谷IT支援事務所)
お問い合わせは→info@mizutani-its.com 合同会社エムアイティエス(水谷IT支援事務所)へ
水谷IT支援事務所TOP > 執筆(Web) > 2004年12月

個人情報保護法に向けて(4)  個人情報取扱規定を作る

前回の「個人情報を洗い出す!」では管理すべき個人情報が社内のどこにあるのか洗い出しを行い、情報のありかを示した個人情報取扱台帳の作成を行いました。今回は個人情報取扱規定を定め、個人情報の管理システムを作り上げていきます。

個人情報取扱規定を定める

個人情報取扱台帳を元に社内で個人情報をどう取り扱っていくか規定していきます。個人情報は取得から始まり、新製品紹介のDM送付等で利用しますが、やがて利用価値がなくなり廃棄されます。つまり取得から廃棄までのライフサイクルがあります。

1.『取得・入力』
2.『移送・送信』
3.『利用・加工』
4.『保管・バックアップ』
5.『消去・廃棄』
の5つのステージに分け、ステージ毎にどう個人情報を適切に取り扱っていくか手順を制定していきます。

手順の他にも必要な項目を決めていきます。例えば作業責任者を誰にするか、また誰もが作業を行えるようにすると個人情報漏洩リスクが高まるので、作業者を特定します。具体的にはID・パスワードなどによるアクセス制限を行います。また誰が個人情報にアクセスしたか記録するようにし、記録は一定期間、保管します。

ただしアクセス制限を行っていても作業者がノートパソコンにパスワードをポストイットで貼っているようであれば、何の効果もありません。手順だけでなく、あわせて個人情報漏洩やコンプライアンスの大切さをしっかり教育します。信用をなくし、企業倒産となり社員が路頭に迷うような時代だと、しっかり社員に認識させることが重要です。皆で個人情報漏洩を防ぐという機運を高める必要があります。

特に中小企業で忘れがちなのが組織変更や退職時の対応です。社員が個人情報にアクセスする必要がなくなった場合は該当者のアクセス権限をすみやかに削除します。Yahoo!BBの個人情報漏洩事件の発端は元派遣社員の男性が使用していた接続用IDが業務委託終了後も外部アクセス可能だったことです。ではステージ毎に留意点をみていきましょう。

『取得・入力』ステージでの留意点

【利用目的を該当者に対してどのように通知しているかの確認】

個人情報取得にあたって、例えばホームページでプレゼントを告知して取得する場合、利用目的を「個人情報を当社のマーケテイングに使用します」のような曖昧な表現ではなく、「個人情報はプレゼント商品の発送と新商品紹介などのDM発送に使用します」と限定したり表現になっているか確認をします。

【個人情報を入力できるパソコンの限定】

取得した個人情報は特定のパソコンでしか入力できないようにします。一般的に分散処理よりも集中処理の方がホストを中心に情報セキュリティを図ればよくなるのと同様に局所化することで対応しやすくなるメリットがあります。反対にデメリットとしては、特定のパソコンが設置されている場所に行く必要があり業務的に使いにくい、またパソコンで不具合が起きると影響が大きい点があります。

個人情報を入力するパソコンは机の後ろを通る人から見られないような場所に設置する。USBやフロッピーなどの外部記録装置が接続できないパソコンにすればより効果があります。もちろんインターネット等外部ネットワークとは接続できないパソコンにします。

『移送・送信』ステージでの留意点

【移送・送信時に個人情報を暗号化しているかの確認】

遠隔地にある営業所と個人情報をやり取りする時に、そのままメールに添付ファイルをつけて送受信していませんか?もし宛先のメールアドレスを間違って本社でなく取引先を指定してしまったら即座に個人情報漏洩になってしまいます。暗号化したファイルを添付するようにすれば、指定間違いしても漏洩を防げます。

【移送時の宛先確認、受領確認 郵送するなら配達記録郵便などの利用】

送受信の確認をしっかり行い記録します。これは個人情報漏洩が万が一発生した時にトレース(追跡)が出来るようにするためです。個人情報の入ったフロッピーを郵送するのならファイルの暗号化はもちろんですが、配達記録が残るようにしておきます。

『利用・加工』ステージでの考慮点

【利用・加工できるパソコンを制限】
【複写、印刷などが記録できる仕組み】
【離席する時はパスワード付スクリーンセイバーが起動されるように設定】
【机の上に媒体や書類を放置しない】

営業社員が個別に個人情報を扱うような場合は、下記のような点を遵守させます。これは車上狙いや電車へのバッグの置き忘れなどによる個人情報漏洩事件がよく起きているためです。

・ノートパソコンに個人情報を入れる場合は暗号化を行い、原則持ち出しは禁止する。
・外部へ持ち出す必要がある場合は、紙媒体にして財布へ入れるなど忘れる事のない工夫をする。

『保管・バックアップ』ステージでの考慮点

【保管・バックアップする個人情報の暗号化】
【施錠管理】
【バックアップした個人情報を復元する手順とテスト】

個人の机に個人情報を格納することは名刺などをのぞけば原則禁止です。キャビネを用意し、退社時には施錠するなど管理をしっかり行います。

『消去・廃棄』ステージでの考慮点

【リース会社へパソコンを返却する前に個人情報の完全消去】
【シュレッダーなど物理的な破壊を行う】

パソコンのファイルをゴミ箱に捨てるだけでは完全に消去されません。完全消去するためのツールが売られていますので導入が必要です。

慣れが一番こわい

個人情報取扱規定を作成すると最初は手順通りに作業を行いますが、やがて慣れが出てきて、手順のショートカットが行われ、きちっと記録すべきことがおざなりになってきます。定期的に手順が守られているかモニタリングすることが重要です。


水谷IT支援事務所TOP > 執筆(Web) > 2004年12月