第2回 社内体制作り：企業がとるべき、個人情報保護対策（1/3 ページ）

企業として、個人情報保護法とどのように向き合っていけばよいのか？　具体的な対策を紹介するシリーズ第2回では、個人情報保護対策を徹底させるための推進チームの設置、スタッフの選出方法から社内浸透策までを含めた「社内体制作り」を解説する。

[佐藤隆，ITmedia]

　第1回は、トラブルが発生した際に責任を明確にすること、個人情報の管理状況を把握することについて説明した。業務に従事する者に、個人情報保護の重要性を認識させているだろうか。経営陣の責任となる個人情報対策は、従業員に伝達すれば終わりではない。従業員自身に認識してもらい、懸念すべき点があれば質問できるような仕組み、つまり「社内体制」を用意しなければならない。

　企業によって組織構造は異なるが、個人情報を保護できる社内体制を整える企業が増えている。そこで今回は、個人情報を保護する仕組みとしての「社内体制」について説明する。

個人情報保護「推進チーム」の設置場所

　個人情報を保護する活動を全社で取り組むとなると、まず、中心となって活動するチームの設置場所を定めなければならない。個人情報を推進するチームを、ここでは仮に「個人情報保護委員会」、略して「P会」とする。P会を設置するには、典型的な組織図のどこに設置するのが妥当だろうか。下記に設置場所を5候補挙げ、その理由を説明しているので、社内でP会を設置することを想定して、選択していただきたい。

図1■どこに個人情報の推進チーム（P会）を設置するか

P会設置案1

　災害対策チームのように、一時的な委員会として設置する。個人情報によるトラブルは、企業が早急に対処しなければならない課題であるため、個人情報の管理は一時的な対策チームとする。部門内にP会を設置するよりも、経営陣に直接判断を仰げることから、緊急時に素早い対応を行える。

P会設置案2

　情報システム部門内に設置する。個人情報の多くは情報システムに格納されており、システムに精通している情報システム部門内にP会を設置する。ここでは、個人情報は最新の情報セキュリティ技術によって守ることが可能となる。

P会設置案3

営業部門の内部に設置する。個人情報を多く所有しているのは、顧客情報を取り扱っている営業部門である。営業部門は、取引先情報はもちろん、見込み顧客の個人情報も多く扱っているため営業部門が中心となってP会を運営することとする。

P会設置案4

　総務（広報）部内に設置する。社外からの個人情報に関する問い合わせは本社で受けることが多い。マスコミの対応にも慣れている広報を中心とする総務部門内にP会を設置する。本社には法務部門が設けられていることが多く、総務部門内にP会があれば法的な解釈にも対応しやすい。

P会設置案5

個人情報は、その取り扱い方（顧客の声の収集、分析）によって、次の企画につながる可能性がある。また、ほかの部門から情報をやすいことから、P会は企画部門内に設置する。もちろん、企業の事業戦略に関わる企画部であれば、機密性を十分に確保できる。

　結論から言えば、5案のいずれでも構わない。個人情報を取り扱う部門は複数存在するので、業務内容に応じて、P会を設置する部門を決めればよい。もしも、経営陣が主導的な立場で推進するならば、直轄の組織が望ましい。一方で、P会は継続性が求められるため、一時的に立ち上げる災害対策チームよりも部門内に置くとする意見も多い。

　また、部門内にP会を置くならば影響が大きい部門に設置すべき、という考えもある。当然のことながら、個人情報保護対策を身近な問題として考えている部門ほど、P会にも協力的になるからである。ここで論じているのは、あくまでもP会が設置される部門の場所であり、メンバーをその設置部門のみで構成するという意味ではない。メンバーの構成については次に説明する。

P会のメンバー構成と3つの理由