また、震災の影響による計画停電に対応するため、サーバやストレージデバイスの電源管理をなされている方々のご尽力に感謝致します。
個人情報保護士は個人情報保護法に関する知識から、ITをメインに据えたマネジメントに関する高い水準の知識を有していることを認定された資格保持者です。試験の内容的には多くの要素を検討し、瞬時に回答ができる能力が必要とされる資格です。
ここでは個人情報保護法とJIS Q 15001 (個人情報保護マネジメントシステム)の規格に関する業務について解説します。
個人情報保護法 |
個人情報保護士は2005年4月より施行された、個人情報の適正な取扱について定められた法律です。一般的に個人情報に関する法律は、民間事業者に向けた「個人情報の保護に関する法律(平成一五年五月三十日法律第五十七号)」のことを言っています。この法律によって以下のことが定められることになりました。
個人情報保護法の条文はいわゆる、法律の文体で書いてあり、法律関連の勉強をしたことのない人にとっては難解な内容で、拡大解釈によって過剰すぎる対応をする事例が増えています。マネジメントレベルで過剰な対策を行ってしまうことは、事業者にとって大きな損失に直結します。かと言って、法律の専門家、つまり、弁護士などに持ち込むほどの案件でもないのが、この法律の難点であるといえるでしょう。
個人情報保護法が事業者に要求するもの |
個人情報保護法では個人情報を取扱う事業者(個人情報取扱事業者)に対して、以下のことを定めています。
これらの要求に対して、適切な対応ができる体制を整備することが、法令遵守につながります。個人情報の保護対策はこれらのポイントをしっかりと押さえておく必要があります。
個人情報保護方針(プライバシーポリシー) |
前項にある要求事項に対して、事業者としてどのように応えるのか?これを事業者が内外に示すのが個人情報保護方針ということになります。従って前項の4つの要求事項に対する回答が方針になっていることが重要になります。
また、方針とは事業に従事する全ての者に共有され、個人情報を取扱う業務を行うに際して常に意識されていなければなりません。その上、対外的に発表されるべきものなので、顧客にも容易に理解できるように書かれていることも重要です。お題目のような難解な方針では、事業者自身でさえ守られているかどうかも、怪しいですし、そのような事業者が、本当に顧客の個人情報を保護するために、注意を払っているとは思われません。
個人情報の安全管理措置 |
個人情報保護法では、条文の第20条において、
「個人情報取扱事業者は、その取扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な処置を講じなければならない。」
と規定しています。ここで注目すべきは必要かつ適切な処置を講じなければならない。という部分です。必要がつ適切な処置という文言を使うのは、技術の進歩や、環境によって変化する事柄にたいして普遍性をもたせるための書き方となっています。しかしながら、実際に対策を行うにあたっては、どのような対策を行っていれば法律を遵守していることになるのか?という線引きが必要となります。そこで、個人情報保護法とは別に、必要かつ適切な処置すなわち安全管理措置に関するガイドラインが存在するのです。
個人情報保護法にある必要かつ適切な処置については、経済産業省から、商取引による経済活動を行う(経済産業分野)事業者に向けたガイドラインが存在します。このガイドラインでは安全管理措置を講じていない、明確な違反として以下のような例を挙げています。
このガイドラインではこれらの事例のような事態に陥らないようにするために必要な管理措置として、
| ○ | 組織的安全管理措置 | (組織体制、方針、規程の整備) |
| ○ | 人的安全管理措置 | (非開示契約の締結、教育、訓練など) |
| ○ | 物理的安全管理措置 | (盗難防止、入退室管理、機器の保護など) |
| ○ | 技術的安全管理措置 | (アクセス制御、不正アクセス対策など) |
という4つの安全管理措置をまとめています。これらの安全管理措置を不足なく行うための管理体制としての規格が、
というものになります。
安全管理措置を実施するには、実に多くの人員と時間を必要とします。実務レベルの管理手法はJIS Q 15001でPMS(プライバシー・マネジメント・システム)として規定されています。この規格の要求事項を満たす管理体制を構築すると、認定個人情報保護団体の認定(JIPDECの場合はプライバシーマーク)を取得することができます。とくにプライバシーマークは目にすることが多く一般的になってきました。
プライバシーマークの取得には手間もコストもかかりますので、全ての事業者に勧められるものではありません。しかし、マネジメントシステム自体は、事業者の規模にかかわらず、構築されていなければならず、管理体制の不備は、実際に情報漏洩が起きた場合、法令違反とされる場合もありえるのです。結局のところ、ある程度のマネジメントシステムは構築せざるを得ないので、資金の量にもよりますが、プライバシーマークの取得を目標として取り組むことを検討してもよいと思います。
PMS−プライバシーマネジメントシステム |
経済産業省の示す経済産業分野のガイドラインを受けて、JIPDEC(日本情報処理開発協会)が安全管理措置として必要な体制を整備するためのガイドラインを発表しています。このガイドラインでは、
が必要である。としています。
以降、JIPDECの手順を参考にPMS構築の手順を解説していきます。
プライバシーポリシーは、個人情報保護法を遵守するために、事業者がどのうような姿勢で対処すべきかを内外に示すものです。従ってマネジメントシステムを構築する前に策定されなければなりません。もちろん個人情報保護法の定める義務事項を満たしたものでなければなりません。
以上の4点は、必ず個人情報保護方針に組み込んで、その対処への基本指針を決めておくことが必要となります。
個人情報保護方針の策定はJIPDECのガイドラインのステップ1に相当する内容です。
PMSを構築するためには個人情報保護方針(プライバシーポリシー)が決まった後、事業者内部で実務の一貫として運用するための組織を整備することが求められています。
JIPDECのガイドラインでは経営者による強力なバックアップをもつ、部門横断的なプロジェクトチームの編成が例示されています。
PMSを構築するためには、いつまでに何をするか?という詳細な計画に基づいた作業が必要となります。
システムの構築には設計段階からプライバシーポリシーを反映していなければなりません。従って、マネジメントシステムの構築作業に着手する前に、方針を周知しておく必要があります。
個人情報保護法では、個人情報として認識される情報について詳細に規定しています。規定された内容の個人情報がどのような形で事業所内に存在し、利用されているかを特定することが求められています。
個人情報保護法は、国の法律であるが、これを基にした、政令や条例は勿論、業界団体が出している自主規制やそのガイドラインについても、特定することが求められています。
個人情報を取扱う業務について、漏洩事故等のリスク分析(発生頻度、被害額の多寡など)を行い、その対策についても個々に設定しておくことが求められています。
ここに挙げた6つの前準備はJIDDDECのガイドラインのステップ2〜7に相当する内容です。
個人情報取扱事業者は、個人情報の取り扱う業務に関して、内部規定を策定し、これが守られる形で日々の業務が行われることが求められています。そのためにはマネジメントシステムの基本となる文書管理規程をはじめ、おおくの書類を作成する必要があります。そこで、これらの業務を行うための人的資源と、技術的資源を確保する必要があります。
人的資源を必要とするのは、PMS(プライバシーマネジメントシステム)の構築で、最も作業量の多い、書類の作成です。
とくにプライバシーポリシーを内部規定に落とし込む作業は、業務の現状の評価による業務改善を同時に進めるケースも多いため、その作成には、多くの労力を費やさざるをえません。しかしながら、マネジメントシステム構築には避けて通れない部分でもあるので、充分な注意を払って、作業を進めていく必要があります。以下に、PMS構築のために作成しなければならない書類をあげておきます。
| 1 | 個人情報保護方針 | (プライバシーポリシー) | |
| 2 | 内部規定 | 組織、権限、教育など | |
| a) | 情報の特定 | ||
| b) | 関連法規の特定 | ||
| c) | リスク分析と対応 | ||
| d) | 権限の定義 | ||
| e) | 緊急事態への対応 | ||
| f) | 情報の取得と利用および提供 | ||
| g) | 情報の適性管理 | ||
| h) | 開示要求への対応 | ||
| i) | 社内教育 | ||
| j) | 文書管理 | ||
| k) | クレーム対応 | ||
| l) | 運用状況の確認と監査 | ||
| m) | 是正措置、予防措置 | ||
| n) | 代表者による見直し方法 | ||
| o) | 違反に対する罰則 | ||
| 3 | 運用マニュアル | 部署ごと、業務ごとに分けて作成 |
ここに掲載したのはあくまでも、一例です。書類を細かく分けずに、内部規定を一部の書類にしておくと、文書管理によって一部の変更であっても版を上げるなどを行わなければならないため、関連法規など、時間の経過によって変更の可能性があるような書類を分けて作成し、変更があった部分だけ、版を上げるようにすれば、文書管理が楽になるとともに、参照する側も変更の有無が解かり易くなります。
大まかには、プライバシーポリシーと内部規定、そして作業マニュアルという三つの文書を作成するだけに見えますが、プライバシーポリシーはともかく内部規定文書の作成には、かなりの時間と労力を使います。従って、決算期末前などを避けて、余裕を持って作業にかかれるように作業予定を組むなどの工夫が必要です。
また、技術的資源については、既存のシステムの回収や、セキュリティソフトの導入などがありますが、設備の増設や更新にあわせて投入する計画を立てるようにします。
プライバシーポリシーは、個人情報に対する方針を広く内外に向けて発表するものです。従って、事業者内で周知されている必要があります。その為には、プライバシーポリシーを従業者全員について、教育を施し、事業者が掲げるプライバシーポリシーを周知、徹底させることが重要になります。個人情報に関するものに限らず、方針は従業者の頭の中に、つねにあることができるように、簡潔な文章でシンプルなメッセージとなるように策定することが必要となります。
PDCAサイクルとは
の4段階のサイクルを繰り返すことで、より高度なマネジメントシステムを構築していく作業です。このサイクルは個人情報の保護以外にも、品質保証、環境対応などの取り組みでも使われているものです。計画したことを実施してその検証を行い、改善策を策定する。その改善策を取り込んだ計画をたてて、実施、検証を重ねていくことで、よりよい結果を模索していくというものです。
この手法の特色は、マネジメントシステムの導入によってレベルアップを果たした上で、新たな問題に取り組むことができるため、有効に機能すれば、組織のレベルを飛躍的に向上させることができることです。このPDCAサイクルによるマネジメントの経験の有無は組織の実力を大きく左右するといっても過言ではない優れた手法であると言えます。
