 まずは組織に関連する部分からお話しましょう。会社として個人情報を保護するためには、何よりもまず、会社の方針を明確にする必要があります。何のために、誰のために、どのように行うのかを社内外に公表しなくてはなりません。一般に「個人情報保護方針」とか「プライバシーポリシー」と呼ばれるものです。この文書が、会社における個人情報保護活動の全ての規範となると同時に、会社の経営陣が個人情報保護活動を推進しているという意思表示にもなります。このことは非常に重要です。個人情報保護活動は、経営陣自らが、会社にとって重要な活動であると位置付けていないと、なかなか成功しません。会社内の一部署だけで、例えば、外部からの要請により活動を行おうとしても、その部署以外の人は自らの問題とは認識せずに、活動にも非協力的であったり、決められたことを守らなかったり、自分の所で保有している個人情報を報告しなかったりと、活動を阻害する要因となってしまいます。これを避けるためには、発端は一部署の問題であっても、会社の問題として全ての社員に示すことが一番です。そして、出来れば、社長自らの言葉で説明する機会を作る方が良いでしょう。その上で、組織、規程、業務手順、個人情報保護対策といったものを、きちんと経営陣が承認した上で、発行していくことが大切です。
|
個人情報保護活動を進めるにあたり、導入時期には「個人情報保護推進委員会」のような名前で、取締役を長とする推進組織を作ることをお勧めします。メンバーには各部署から一人ずつ参加して貰います。この推進組織で個人情報保護に関する規程や規則、基準を決めていきます。ここでは、あくまで全社統一の基本となる事項を決めるのが目的です。現場レベルでの細かい対策は、業務の担当者が中心になって、いわゆる改善活動を行うのが良いでしょう。準備が整ったならば、運営組織にバトンタッチします。実際には、推進メンバーがそのまま運営メンバーになる事が多いですが。
個人情報保護法やJIS規格では、会社の個人情報保護に関する責任者、運営が規程通りに行われているかチェックする監査責任者、社員の教育を行う教育責任者、そして、社外からの問合せ等に対応する窓口責任者の設置を要求しています。大きな会社では、部の責任者、課の責任者が必要な場合があります。また、個人情報に関する事件・事故が発生した場合を想定して「緊急対策本部」のような組織も必要になります。運営組織では、個人情報に関する事件・事故が発生しないように、リスクを認識した上で対策をたて、社員の管理・指導を行っていきます。一方で、事件・事故が発生すると仮定した場合の対応についても、十分に検討しておく必要があります。災害対策マニュアルや企業の危機管理マニュアルと同様に、個人情報に関しても実際の事件・事故を参考にした「個人情報保護危機管理シナリオ」を想定し、発生した場合の対応組織、役割分担、対応方法を決めておくと、実際に問題が発生しても対応に漏れがなくなります。また、このシナリオを考える事によって、予防処置的な対策の発見も出来るのではないかと思います。
次に、社員への教育・啓発活動についてお話します。組織体制、規程をいくら整備しても、肝心の社員への教育・啓発活動がなされなければ、作った組織、規程は有効に働きません。教育の方法にはいくつかあります。社員を集めての集合教育が代表的ですが、それ以外に、Webを利用した自己学習方式も使い方次第で効果があるでしょう。ですが、私が勧めるのは、これらの教育は勿論行いますが、個人情報保護に関する対策の準備を行う段階から、積極的に社員に参加させることを併用する方式です。何も知らせずに、いきなり「今後、個人情報保護のために、こういう組織で、これこれの規程に基づいて作業を行って下さい。」と言われてもなかなか理解できません。それよりも、準備段階から出来るだけ参加してもらい、何のために何を達成するのかを理解させながら準備を進め、最後にまとまった段階で整理した情報を伝えれば、大きな苦労もなく社員に理解してもらえると考えます。準備段階の種々の問題を解決する事はどんな説明をするより遥かに有効な教材です。