特集
» 2005年01月20日 00時00分 公開

企業がとるべき、個人情報保護対策:第1回 経営管理上の課題 (3/3)

[佐藤隆,ITmedia]
前のページへ 1|2|3       

 経営者は部下に指示を出したら、個人情報が適切に保護されているか現状を監視し、必要に応じてコントロールしていかなければならない。そのためには、個人情報の管理状況の報告書を受けるだけでは不十分である。管理現状を報告する場に参加し、必要に応じて指示できる積極的な参画が求められる。経営管理上の責任が問われたケースを見ていくと、報告される場(会議)が存在しない、管理状況が報告されていない、経営陣からのコメントがない、などが確認できる。これを逆にとらえれば、経営陣が責任を問われないポイントとも言える。

 個人情報の管理状況の報告を定期的に受けることは最初は面倒に思えるが、これは個人情報保護対策を上手に構築し、軌道に乗せるコツでもある。最初は報告する期間を1カ月ごとに設定し、経営陣の積極的な参加によって管理態勢を構築、運用させていく。個人情報の状況把握が確実になり、順調に機能していけば、2〜3カ月間隔にして定着化させればよい。

 また、管理状況を把握する場の設定は、保護対策の進捗管理以外にも新たな情報技術動向、漏えい防止に関する監査手順のあり方など、情報交換としても有効に機能させることができる。もちろん、漏えい事件が発生した時には、こうした活動は重要な証拠にもなる。個人情報が漏えいした企業では、事件発生後に外部の専門家を含めた専門委員会を設置して解決にあたっていくことが多い。その時に、経営陣がどの程度関与していたかは、個人情報の管理状況を報告する場の資料があれば、経営陣としての責任が問われる可能性は低くなる。

 ある商品をインターネットで予約販売した企業のホームページで、予約した顧客情報が漏えいする事件があった。この時は、担当部門責任者(管理職)による謝罪が行われたが、経営陣までは責任が問われなかった。経営管理面から個人情報をどのように掌握しているか、その活動と記録が企業の個人情報の取り組みを証明したのである。

 最後に、経営管理面から、個人情報の保護対策が十分か否か判断するチェックポイントを挙げる。

  • 経営陣は、個人情報の保護に対する重要性を認識していますか
  • 個人情報の保護に関する指針が社内、社外の文書(規程、ガイドライン)が存在しますか
  • 業務を遂行する目標、責任、権限に個人情報に関する事項が含まれていますか
  • 個人情報に関する責任者が部署ごとに任命されていますか
  • 個人情報の管理状況を把握する会合が存在し、経営陣は積極的に参加していますか

 次回は、個人情報を保護するための体制について解説する。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -