第1回 経営管理上の課題：企業がとるべき、個人情報保護対策（2/3 ページ）

[佐藤隆，ITmedia]

「情報セキュリティ基本方針（セキュリティポリシー）の策定、表明」

　企業が情報セキュリティに対する考え方を定め、表明する文書を策定する、そこには経営陣による意思表明がなされている。当初そこには企業が所有する情報資産を保護する漠然とした形で記述されていたが、個人情報の取り扱いが注目されるに至り、個人情報保護に対する表明が追加され、従業員とのセキュリティ意識の徹底を行うようになった。

「倫理要領（コンプライアンスガイドライン）の作成、実施」

　法令を遵守し、組織の一員としての行動規範を定めた社内の規定。違反した場合は、罰則の適用対象となる。業務上の機密、インサイダー取引の禁止、知的所有権の保護以外に、個人情報の取り扱いを盛り込んでいる。「倫理行動規範」や「コンプライアンス規程」など企業によって名称が異なる。

「個人情報保護指針（プライバシーポリシー）の策定、公開」

　組織が個人情報の取り扱いに対して対外的に表明することを意識して作成するものであり、基本方針から個人情報に関する問い合わせ窓口までが記述されている。インターネットのホームページに公開することによって、従業員にも個人情報取り扱いに対し管理の徹底が求められることになる。企業間取引が中心の企業より、不特定多数の個人顧客を対象とする企業で策定されている。

　「企業を取り巻く変化に応じて危機感をもっているのか」、「従業員に対して個人情報の保護に対する明確な意思を伝えているか」、「そして、株主、顧客、取引先に個人情報保護に対する指針をはっきり伝達しているか」、経営陣にとってはこれが最初の課題となる。

図1■業務目標の伝達フロー

第二ステップ：個人情報保護に対する責任と権限を追加する

　経営者が意思を表明したら、確実に個人情報保護の実現に向けて進めていくことが求められる。倫理要領やプライバシーポリシーを導入してから個人情報が漏えいすれば、企業への信頼に影響を及ぼす可能性があるからだ。過去に、ある企業Aで個人情報を記録する媒体が紛失される事件が起きた。その企業Aは、企業Xグループの関連会社で、企業Xが定めた個人情報保護指針に基づいて第三者の認定機関による認定を受けていた。この時、紛失した企業Aの認定取り消しのおよぶ影響が、企業Xグループの関連企業にも波及し、すべての関連会社が自治体へ入札できなくなる事態に発展しかけたことがあった。

　幸いにも最悪のケースは免れることができたが、教訓とするなら、「個人情報が漏えいした場合、親会社、系列企業に影響を及ぶ危険性がある」ということだろう。そのためには、個人情報の管理に対する責任と権限を明確にすることが肝心である。経営陣が決定した事業計画に基づいて、各部門責任者に業務上の実現目標、達成するための権限が責任を伴って委譲される。以下例を示す。

表1●個人情報の保護項目が抜けている業務目標、権限、責任

達成目標 ○○業界に対し、XXX件の新規顧客を開拓すること 既存顧客を維持すること 顧客満足度を向上させること 権限 営業活動予算XXXX万円に関する決済権限を与える 部下2人を増員し、計○○人に営業の管理権限を与える 責任 営業活動に関する全責任 部下に対する管理責任

　経営上指示される項目や内容としては、個人情報保護に関する責任が記述されていないので不十分である。そこで、責任の項目を追加する必要がある。例えば、「営業活動に関わる個人情報の管理」とし、社内の個人情報管理体制を見直し、「○○部　個人情報管理担当」と任命し、具体的な内容は別途定めるやり方もある。

　個人情報の管理に関する権限や責任が明記されていないと、2つの問題が起きる可能性が出てくる。最初の問題は、各業務レベルや職位の段階から個人情報の保護に気を配らなくなることだ。経営者やマネジャーの視点では何も発見できなくても、責任を与えた担当者ならば、個人情報が漏えいされる兆候に気を配り、予防できることもある。指示された業務だけを行い、周囲に注意を払わないことは避けたい。

　もう一つの問題は、個人情報に関する漏えいが発生すれば、個人情報に関する責任を負える者が不在になることである。もしも入手経路が不明で、管理責任者も不在の上で個人情報が漏えいすれば、その責任は最終的に会社が負うことになる。まずは、企業の情報資産の「たな卸し」を行って、個人情報を洗い出し、必要な管理責任、権限を追加することが望ましい。

第三ステップ：個人情報の管理状況を報告する場を設け、積極的に参加する