第2回 社内体制作り：企業がとるべき、個人情報保護対策（2/3 ページ）

[佐藤隆，ITmedia]

　経営陣は、個人情報の保護を推進するチーム（P会）を設置し、P会の推進リーダーを指名する。P会のメンバーは各部門から選出する。なぜ、各部門から参加させる必要があるのか。これはセキュリティの水準を向上させる場合に使うテクニックの一つであり、3つの理由が挙げられる。

　第1の理由として、企業の各部門から参加させることで、全社員が一丸となり個人情報の保護対策に取り組ませるためである。参加しない部門があると、該当部門の個人情報を掌握できない。このため、参加した部門よりも対策が行き届かなくなる。つまり、経営陣は、該当部門の個人情報の管理状況も把握もできなくなる。部門による偏りを無くす意味からも全部門から少なくとも１名の参加が必要なのである。

　第2の理由として、P会で部門からの意見や助言を吸い上げるためである。部門からの個人情報に対する情報をインプットすることは、実現不可能な保護対策を防止することにつながる。例えば、クレーム処理を引き受ける製造部門が扱う個人情報は、既存顧客のものであるのに対して、営業部門が取り扱う個人情報は、既存顧客のほかに見込み顧客の情報を含んでいるかもしれない。その場合、営業部門は製造部門よりも多くの個人情報を管理していることになる。

　こういった状況では、製造部門から提案された保護策に対し、営業部門から費用面で不可能とする意見が出ることがある。このように各部門から互いに意見を出し合えば、現実離れした対策を防止し、実現可能な対策の妥協点を見い出すことができる。

　第3の理由は、P会で決定した事項を各部に伝達させ、報告させるためである。P会では、個人情報の保護対策を明確に打ち出し、決定事項を確実に守らせる必要がある。また、各部門からメンバーが選出されていれば、それぞれP会のメンバーを通して各部門の個人情報の管理状況が、確実に経営陣に伝わるのである。

　以上3つの理由から、P会のメンバーは各部から参加してもらわないと困るのである。

社内体制ができたら、活動計画を作成する

　設立されたP会は、個人情報保護を推進させる役割を持つ。そこで、まず半年から1年くらいに期間を限定した具体的な活動計画の作成をお勧めしたい。例えば、下表のようなP会の活動計画を作ってみるのもいい。これなら、P会で行われている個々の活動の進捗状況、成果物の内容から個人情報の管理状況を経営陣は簡単に把握できる。

表1●P会の活動計画の例

4月 5月 6月 7月 8月 9月 10月 成果物 個人情報保護指針の策定 ○             個人情報保護指針 個人情報指針の社内への普及活動   ○         ○ 普及資料、活動報告 各部が取り扱う個人情報の洗い出し   ○ ○         個人情報一覧表 個人情報の取り扱いの検討     ○ ○       取り扱い規定、手順 個人情報に関する契約の見直し       ○ ○ ○ ○ 該当契約書、雛形 問い合わせ窓口、処理する仕組み       ○       窓口の設置、手順 個人情報の取り扱いに対する監査           ○   プライバシー監査報告書

　最初に着手したいのが、個人情報保護指針の策定、個人情報の取り扱いに対する徹底意識の社内普及活動である。続いて、顧客から預かっている個人情報などを含めた、会社が所有している個人情報の把握となる。現状を把握すれば、そこに問題点や課題が発見できるかもしれない。

　解決すべき対策には、技術的な対策、契約書を見直すような法的な対策などがあり、次第に明らかになっていくだろう。もちろん、P会のメンバーが活動できる時間や予算によって、P会の活動項目、スケジュールは左右される。活動計画が完成すれば、個人情報保護のスタート地点に立ったといえる。

個人情報保護指針ができたら、次は社内浸透を計る