次はシステム構成について把握していきましょう。ハードウェア一覧、ソフトウェア一覧は個人を基準とした作業環境の把握になりますが、会社を基準とした作業環境の把握と考えるとよいでしょう。

ウィルスやファイル交換ツールによる個人情報漏洩などが多くなってきていますが、依然、サーバなどへの不正アクセスも後を絶たない状況です。一旦、個人情報を漏洩してしまえば、企業の信用に関わりますし、年々、巧妙になるウィルスや不正アクセスなどに対応できる高度なセキュリティも要求されています。作業環境の把握が個人情報保護の重要事項であることを記載しましたが、サーバやネットワーク構成を含めたシステム構成の把握もまた同様であることを認識してください。

まずは、プロジェクト一覧を活用し、プロジェクトごとにサーバやネットワーク構成を調べていきます。システム担当者を中心に調査をすすめていきますが、同時にサーバやネットワークのセキュリティ施策や、アクセスログについても調べてください。また、すでにシステム構成図が作成されている場合には、書面と実状に差異がないかを確認するようにしてください。

プロジェクトに関するシステム構成だけではなく、社内のシステム構成も調べてください。社内で使用しているウェブサーバ、メールサーバ、データベースサーバ、ファイルサーバなどのほか、ネットワーク構成、ネットワークのアクセス制限などについても調べてください。

後程、リスク想定と対策で使用しますので、もれのない詳細なシステム構成図を作成するようにしてください。

※次回は、「リスク想定と対策」についてご紹介します！

個人情報といっても、顧客情報や得意先から預かる個人情報だけではありません。管理部が管理する自社の社員情報、住所変更届け、営業部が管理する顧客情報、キャンペーン応募者リスト、システム開発案件で開発部が預かる得意先の個人情報などもあります。まず、自社で取扱っている個人情報を特定していきましょう。

個人情報を特定するにあたりやってはいけないことが、個人情報の取扱いがあるにもかかわらず、個人情報の取扱いがないとすることです。個人情報保護とは、個人情報の取扱いを適正に行っていくことだけでなく、事前に個人情報に対するリスク対策を行っていけるかにもかかってきます。個人情報の取扱いがないとしてしまった場合、事前のリスク対策が行えないままに放置され、気づいたときは個人情報が漏洩していたということも考えられます。

作業を進めるにあたり、プロジェクト一覧を作成し、次に個人情報を特定していきます。個人の記憶に頼ってやみくもに個人情報を洗い出していくのではなく、プロジェクト一覧を作成し、部署間でプロジェクトのチェック、プロジェクト担当者間で作業内容、個人情報のチェックをすることで、個人情報をもれなく特定していくことができます。

【プロジェクト一覧例】

• 期間
• 得意先名
• プロジェクト名
• 主な作業内容
• 担当者

個人情報一覧を作成！

では、作成したプロジェクト一覧から、個人情報を特定していきましょう。単に○○プロジェクトで取得したキャンペーン応募者リストなどとしていけばよいのでしょうか。

個人情報を取扱う上で大切なことは、個人情報の取得、移送、利用、保管、消去までのライフサイクルを特定し適切に管理運用を行っていくこと、また、個人情報の内容、利用目的、形態、件数、保管場所などを明確に把握することです。

個人情報ごとにライフサイクル、管理運用方法、データ内容は異なるものです。個人情報ごとにブレイクダウンしつつ、個人情報の特定作業をすすめていくとよいでしょう。もちろん、プロジェクト担当者間のチェックも忘れずに行ってください。

【個人情報一覧例】

• 入手日
• 得意先名
• プロジェクト名
• 担当者
• 個人情報の内容
• 個人情報の項目
• 利用目的
• 入手方法
• 形態
• 件数
• 保管場所
• バックアップの有無
• 保管期間
• 消去方法
• 破棄日

※次回は、「システム構成図の作成」についてご紹介します！

「営業部の社員が、住所変更届を提出しました。管理部の担当者が、社員一覧を変更し、保存しました。」という個人情報を利用する場面がありますが、みなさんはどのようなイメージを頭に浮かべるでしょうか。「バインダーにはさまれた社員一覧を書きかえて、ロッカーで保管する」、それとも「パソコンで社員一覧ファイルを開き、住所を修正し、上書保存する。」なのでしょうか。個人情報に限らず、さまざまな事務作業をパソコンで行うことが多くなってきているのではないでしょうか。

では、パソコンが突然壊れてしまったら、社員一覧はどうなってしまうでしょうか。当然、住所変更作業もできませんし、データが壊れてしまい、社員一覧ファイルがなくなってしまうこともあるかもしれません。このように、個人情報が作業環境に依存する場面も多くなってきています。

作業環境の把握が重要！

誰がどのパソコン・OSを使っているか、誰がどのソフトウェア・ウィルス対策ソフトを使っているかなど、作業環境を把握していくことが、個人情報保護を行う上で重要事項なのです。

ウィルス対策ソフトの更新作業を怠ったため、流行しているウィルスに対応することができず、ウィルスにソフトウェアの脆弱性を攻撃され、個人情報が漏洩してしまったなどのケースもあります。作業環境を把握していれば、事前対策を促すこともできますし、いざという時にも即座に対応でき、二次災害を防止することもできます。

では、どのようにしていけばよいかといいますと、ハードウェア一覧、ソフトウェア一覧などの作業環境を把握するための資料を作成し、担当者による一元管理を行っていくことをおすすめします。ソフトウェアを管理することで、不正コピーの防止、ファイル交換ソフトの抑止などにもつながります。また、ガイドラインとして、コンピュータウイルス対策基準、ソフトウエア管理ガイドラインもありますので、こちらも参照してみてください。

【ハードウェア一覧例】

• 利用開始日
• 利用終了日
• 利用者名
• OS/バージョン
• ライセンス番号

【ソフトウェア一覧例】

• 利用開始日
• 利用終了日
• 利用者名
• ソフトウェア名/バージョン
• ライセンス番号

【コンピュータウイルス対策基準/ソフトウエア管理ガイドライン】

http://www.meti.go.jp/policy/netsecurity/law_guidelines.htm

※次回は、「個人情報の特定」についてご紹介します！

個人情報保護に取組んでいることを社内外に示すため、個人情報保護方針を作成していきます。個人情報保護方針ではなく、プライバシーポリシー、個人情報の取扱いについて、個人情報への取組みについてなどと表記しているところもあります。

「JIS Q 15001:2006」(3.2 個人情報保護方針)に規定されているa)～f)項目を含む、個人情報保護方針を策定します。個人情報保護方針には、個人情報保護に取組んでいることを社内外に示す目的もありますので、社会的背景、業務との関連性、具体的な個人情報保護への取組みなども記載するとよいでしょう。そのほか、社長名、制定日、改定日も記載するようにしてください。

個人情報保護方針が完成したらまずは社内周知を、そしてホームページや会社案内に掲載して社外に周知するようにしてください。大事なことは、企業の社会的責任として、個人情報保護への姿勢を社内外に宣言することです。

※次回は、「作業環境の把握」についてご紹介します！

個人情報という言葉を聞くと、自身の氏名や住所などを連想するのではないでしょうか。では、個人情報の漏洩事件とするとどうでしょうか。会員情報、プレゼントキャンペーン応募者、社員名簿などの漏洩が頭に浮かびます。個人を単位とした場合にはデータ単位、企業などを単位とした場合にはファイル単位とイメージできるのではないでしょうか。

企業において、個人情報保護に取組むとした場合にはどうでしょうか。全社員が机、パソコン、ロッカーを調べて、データをピックアップし、それぞれに保護していくという方法では、莫大な時間と手間、リスクが残ることになります。効率性からみても、個人情報に関するファイル単位、作業単位でピックアップし、ある一定のレベルで適切に保護していくことが、企業においては重要になります。

では、個人情報に関するファイルは、具体的にどのようなものがあるのでしょうか。管理部が管理する自社の社員情報、営業部が管理する自社の顧客情報、受託案件により開発部が管理する得意先の個人情報などに分けられます。さらに、自社の社員情報は住所変更届、評価情報、契約書などに、自社の顧客情報は会員情報、キャンペーン応募者、メール配信リストなどに分けられていきます。

このように個人情報といっても、営業部が扱う顧客情報だけではないということを認識してください。管理部、営業部、開発部も個人情報を扱うため、全社をあげて個人情報保護に取組まなければいけないということを意識してください。

チーム結成！

プライバシーマーク制度取得に関する作業をスムーズに進めるため、個人情報を扱う部署の責任者を含め、プロジェクトチームを結成します。社長、個人情報保護管理者、監査責任者、教育担当者、苦情処理担当者、管理部責任者、営業部責任者、開発部責任者など、個人情報保護のための社内体制を整備します。なかでも、社長によって指名しなくてはならない個人情報保護管理者、監査責任者には、プライバシーマーク制度の実施・運用に関する責任・権限も与えます。企業規模や業務内容に応じ、個人情報保護管理者の補佐役として個人情報保護担当者を設けたり、監査責任者の補佐役として監査担当者を設けたりすることもあります。あくまで作業をスムーズに進めること、プライバシーマーク制度の実施や運用を適切に行うことを念頭においた人選を心がけるようにしてください。

【社内体制例】

※個人情報保護管理者は、プライバシーマーク制度に関する知識、ならびに全体を統括できる担当者を選ぶことが望ましいです。
※監査責任者は、社内監査を行うため、公平かつ客観的な立場にある担当者であり、かつ監査知識があることが望ましいです。

• 代表者(※必須)
• 個人情報保護管理者(※必須)
• 監査責任者(※必須)
• 教育担当者
• 苦情処理担当者
• 管理部責任者
• 営業部責任者
• 開発部責任者

※次回は、「個人情報保護方針の作成」についてご紹介します！

ここ数年、「○○が個人情報を漏洩」や「○○がファイル流出」などのニュースを頻繁に目にします。このようなニュースを見ていると、他人事というか、悪い人間がやったことだからと、身近な問題として捉えにくいのではないでしょうか。ニュースになっていないものも含めると、かなりの漏洩事件や流出事件がおきています。一度、漏洩事件や流出事件の記事を、検索サイトで検索してみてください。

まずは、意識して！

企業においては、店頭キャンペーン・インターネットキャンペーンを問わず、お客様の個人情報を収集することがあります。また、個人の方においても、カードの申込み、メールマガジン登録、プレゼントキャンペーンへの応募など、個人情報を登録することがあります。個人情報を収集したり、登録したりすることは、身近なことだということを、まずは意識してください。

そして、漏洩事件や流出事件によって、企業が社会的信用を失うだけでなく、個人の方も事件の当事者になるということを忘れずにいてください。

個人情報保護はリスクヘッジ！

2005年4月から「個人情報の保護に関する法律」が施行されましたが、企業の個人情報保護に対しての取組みや意識も、年々、向上してきています。社員への周知啓蒙や情報システムのセキュリティ構築はもちろんのこと、「プライバシーマーク制度」「ISMS適合性評価制度」などの第三者認証制度を取得した取引先とのみ取引を行う企業もあります。個人情報保護の取組みは、社会的信用の損失、莫大な事故対応費用を防ぐ、リスクヘッジの役割も担っているということも認識してください。

【個人情報の保護に関する法律】

http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

じゃあ、どうすればいいの？

では、どのようにすれば漏洩事件や流出事件を未然に防ぐことができるのでしょうか。パソコンにウィルスソフトをインストールすれば、対策したことになるのでしょうか。

個人情報保護への取組みを行いたいが、どこから手をつければいいのかわからないということを耳にします。個人情報保護は、会社全体で、「人・もの・技術」対策を行っていかなくてはなりません。ウィルスソフトを導入したので安心、個人情報は金庫に入れたから問題ない、個人情報保護法のビデオをみたので理解したというわけではなく、全般的に、繰り返し、「人・もの・技術」対策を施していかなければなりません。具体的な対策事例としては「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」などもありますので、参照してみてください。

【経済産業省・個人情報保護の取り組み】

http://www.meti.go.jp/policy/it_policy/privacy/index.html#02

第三者認証制度って？

「個人情報の保護に関する法律」「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照して、「人・もの・技術」対策を行うこともできますが、その他にも、第三者認証制度のガイドラインに準拠し、対策を行うこともできます。

第三者認証制度とは、(財)日本情報処理開発協会などの第三者機関が客観的に判断を行い、基準を満たしている場合にのみ認証を与えるという制度になります。個人情報保護では「プライバシーマーク制度」「TRUSTe」など、情報セキュリティでは「ISMS適合性評価制度」などがあります。それぞれの第三者認証制度には特徴がありますので、取得目的や予算に応じて選ぶとよいでしょう。

【プライバシーマーク制度】

個人情報保護に関するマネジメントシステムを整備・運用している事業者を認定する制度。

http://privacymark.jp/

【TRUSTe】

ウェブサイトユーザーとの信頼関係を構築、実現を目的とした個人情報保護第三者機関認証シールプログラム。

http://www.truste.or.jp/

【ISMS適合性評価制度】

情報システムの技術対策のほか、組織マネジメントとしてリスクアセスメントによってセキュリティレベルを決め、プラン、資源配分、システム運用することを目的に設立された制度。

http://www.isms.jipdec.jp/

プライバシーマーク制度取得に決定！

社内でも、第三者認証制度を利用して、社内体制の整備、ならびに「人・もの・技術」対策を行うことになりました。「プライバシーマーク制度」「TRUSTe」「ISMS適合性評価制度」をそれぞれ比較検討し、下記の理由などから、「プライバシーマーク制度」の取得を目指すことにしました！

• 個人情報を取扱う業務を行っていること
• 認定事業者が9,000社を超え、社会認知度も高いこと
• 小規模事業者の取得費用が30万円であること

※次回は、「プロジェクトチームの結成」についてご紹介します！