TRAVEL VISION 業界がわかる!日刊トラベルビジョン

(6)
ジェイズ・コミュニケーションの松崎です。
6回に渡ってお話してきた、本講座も今回を持ちましてひとまず終了させていただきます。
今回は最終回と言うことで、特にテーマをもうけないでお話します。
今まで話してきましたけど、個人情報保護って何のために行うのかと言う疑問が沸きませんか?
実際世の中で沢山の問題が発生していますから、企業としてそれに対して何かアクションを起こす必要性はあると思いますが、誰のために行うのでしょうか。個人情報の持ち主である個人のためでしょうか、それともその個人情報を扱っている会社のためでしょうか。会社が入手した情報(個人情報だけでなくビジネス情報全般です)を外部に漏らすことは普通ありえません。であれば、個人情報であっても特に何の対策をしなくても問題が無いように思います。実際皆さんの会社で何かの情報が外部に漏えいしたことがありますか? もし泥棒が深夜にオフィスに侵入して金庫毎盗み出したということがあれば、おそらくオフィスの防犯対策を行うでしょう、これは会社のために行います。でも、今一般に言われている個人情報保護対策はちょっと違います。今日はこの辺を中心に話して行きます。
個人情報保護情報対策[一般的に個人情報保護対策と言うと、次の様になります。]
  1. [形式的対策]
    個人情報保護方針を作成し、社内規程を整備し、規程に則った運用を行う組織を決める。
  2. [物理的対策]
    オフィスの防犯、個人情報の保管場所の確保、ネットワーク機器、コンピュータの防犯等物が盗まれたり、紛失したり、壊れたりしないようにする。
  3. [技術的対策]
    社内ネットワークに外部から侵入されない、コンピュータに不正アクセスされない、PCがウィルスに感染しない、必要の無い人が情報にアクセスできない、と言ったことを技術的に設定する。
  4. [人的対策]
    社員が個人情報保護対策を実施するための教育・啓発、業務手順の改善

それぞれの対策は意味のあるものですし、行わない訳にはいかないことになります。でも、まとめて書かれると、「そんなに沢山のことを行わないとだめなの?」と言われてしまいます。なぜでしょうか?
実は、個人情報保護対策を行うための目的が明確になっていないためなのです。目的を明確にしないで世間一般に言われている対策を行ったところで、問題は解決しません、そもそも解決すべき問題が明確になっていないとも言えます。

個人情報保護対策の目的では、個人情報保護対策の目的は何なのでしょうか、この目的を明確にするためには、会社で扱っている個人情報を調べることから始め、会社の業務にどのようにかかわっているかを明確にすることが必要になります。この段階を現状把握と言います。そして、会社にとって重要な情報を特定します。会社で保有している個人情報と言っても、全ての情報が必要なわけではありませんし、例外的な物も存在します。また、件数も要素になります、100件なのか10万件なのかでも重要度は異なります。業務にとって必要不可欠な情報なのかどうかも考慮する必要があります。また、持っている必要の無い情報もあると思います。会社にとって重要な情報を特定することができれば、個人情報保護の対象となる個人情報が決まります。このことと、会社の業務内容を照らし合わせれば、個人情報保護対策の目的が明確になります。単純な話では、Webで通販を行っている会社が顧客情報を1万件持っていれば、通販の顧客の個人情報を安全に管理して顧客の信用を得て売り上げを増やすことになります。BtoBのビジネスを行っているのであれば、扱っている個人情報の数には関係なく、その会社に情報を預けても大丈夫かと言った、会社の安全性、信頼性を向上させることになります。実際にはもっと複雑だとは思いますが、できるだけ単純化して考えた方がわかりやすく、明確な目的となります。

目的が明確になれば、上記の4つの対策の何を行えば良いかが判断できますし、余計な対策を行わなくても済みます。場合によってはもっと沢山の厳しい対策を行う必要性が出てくることもあります。
例えば、プライバシーマークの取得が必要かどうかも、判断できます。
プライバシーマークを取得する事は対策ではありません、個人情報保護対策が行われている証明でもありません。でも、外部に向かってマークを表示する事により、その会社の個人情報保護に対する姿勢が見えます。顧客から見ると一つの判断材料にはなりますし、個人情報保護の対策が行われている事はわかります。BtoBの場合でも、同じ条件であれば、マークの取得の様に分かり易い判断材料があれば有利になります。個人情報保護対策を行っていますと言うよりも、プライバシーマークを取得していますと言ったほうが、相手に多くの情報を出さなくても理解してもらえることになります。

個人情報の漏えい先日開催しましたセミナーでもお話しましたが、個人情報の漏えいのニュースは一向に減る気配を見せていません、多くの会社で個人情報保護の対策は行われていますし、現在も進められています。それにもかかわらず毎日の様に発生しているのが現実です。おそらく問題を起こした会社でも対策を行っていたと思われます。100%問題発生を予防することを目指しても、ネットワーク、コンピュータ等のIT技術は毎日進歩しているため、追従することは難しいことです、また、不正行為の技術も同様に進歩するため、新しい脅威が発生して、これにも対応できません。
もちろん、対策を行うときには、会社の状況を分析して十分な対策を行うべきです、基本的には「事件・事故を発生させない対策」を行います。 そして、同時に「事件・事故は必ず発生する」と考えて発生した場合の対応策を考えておく必要があります。他社で起きた事件・事故を参考に、同じことが自社で起きえるのか、起きてしまった場合にどのような被害が発生するのか、その時に何を行うのか、これらを考えておくことは重要なことです。 そして、その対応策を考える過程でさらなる対策が出てきます。例えば、社員が移動中に車上荒らしにあい、顧客から預かった申込書を入れた鞄を盗まれたと想定します。まず、どこに連絡するのか、警察ですか、会社ですか、顧客ですか? 会社は連絡を受けた後何をするのか、報道関係者から取材の依頼があったときにどうするのか、顧客から問合せがあったら何と答えるのか、顧客から損害賠償を請求されたらどうするのか・・・わからないことがどんどん出てきませんか。

個人情報保護対策は、まず始める事が大切です、そして形式や世間の風潮に流されずに、出来る事から対策を進めていき、その対策を進める中で社員の教育を行い、新しい問題、わからないことが出てきたらまた対策を考える。こんな調子でも可能です。何をするのか分からないから、良く調べてから対策を行おうと考えるよりも、少しずつでも前に進んでみませんか。
6回に渡って個人情報保護についてお話させていただきました、限られた文字数の中での話しなので十分な説明にはなっていませんが、何か参考になりましたでしょうか。この個人情報保護講座も今回をもちまして終了とさせていただきます。

個人情報保護に関してご質問、ご相談等ございましたら、ご遠慮なく弊社までお問合せください。

ジェイズ・コミュニケーション株式会社
ネットワーク・セキュリティ・サービス事業部
情報セキュリティ・シニア・コンサルタント
松崎 幹比古 (matsuzaki@jscom.co.jp

〒104-0033 東京都中央区新川 2-3-1
セントラルスクエア 8F
TEL:03-6222-5858 FAX:03-6222-5855
URL: www.jscom.co.jp

 ジェイズ・コミュニケーション株式会社のロゴ
1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ]] [ 6 ]
copyright