第4回 個人情報保護のポイント:個人情報を読み解くキーポイント(3/3 ページ)
個人情報保護対策を立てたとしても、抽象的にその実現を訴えても何も変わらない。従業者は、何をしたらいいのかまったくわからないからだ。まず、従業者を監督するには、具体的な禁止と、必ず行うべき確認作業とを明確に示さなければならない。
こうした指示を「マニュアル」と呼ぶが、その内容は形式的なものではなく、マナー集とも異なる。具体的な禁止が読み取れるようなもの、履行手順が明確に規定されたものであるべきだ。
こうした手順は誰が作成するのか悩むところだと思われるが、実は簡単だ。手順を最も知るのは現場の担当者であり、作業責任者である。そうした担当者全員に対して、こうしたマニュアル作りに参加してもらうのが理想的だ。
まず、彼らに次のことを依頼しよう。「やってはならない10の項目」、そしてさらに「必ずなすべき10の項目」を順次挙げてもらうのだ。業務手順を知らない者が作成したルールなど守る気はしないだろうが、自らの経験に基づいて明確にした規範は、その重要性を知っているだけに確実に守られるし、他の従業者にも遵守させる必要性は高い。
業務手順書の機能
業務手順(マニュアル)は、従業者に作業を行う上で守るべきこと、禁止すべきことを明示することで、その作業の安全管理を実現するものだが、手順の持つ意味はそれにとどまらない。
手順があれば、それに従った書類ができるはずである。各種の段階で確認簿、原簿が作成されるはずだ。また、ポイントごとにチェックされ、その証拠も残る。こうした各種の資料が意図的に作られることが重要なのである。漫然と作業するのではなく、その作業が1つ1つチェックされ、記録されることになる。そうして意識的に記録されること自体が注意喚起となり、相互牽制の意味も持つ。そして、記録された業務内容は、次の業務改善のための重要な示唆を含むことになる。
さらに重要な機能は、後日監査を実施するときの具体的な監査対象として浮かび上がる点である。監査がヒアリングに終始するとき、業務の実態は見えないことが多く、具体的な手順違反は隠蔽されてしまう。それでは監査の意味はないに等しい。必要なことは、重要なポイントは確実な証拠に基づいて確認することであり、書面をもって手順遵守を確認することなのである。そのためには手順に従った記録の保持は必須といえる。
個人情報保護対策は業務改善
個人情報保護対策は、従来の作業を見直すことから始まる。業務自体を徹底的に検証し、危険性を洗い出すこと、個人情報の乱雑な扱いを徹底的に改めることが重要である。また、そうした内容を伴わない作業を放置することなく、作業自体の改善を実施しなければ個人情報保護指針は何の意味も持たないことになる。
手順を作るということは、手順の客観化を図ることであり、問題のある手順を変えること、すなわち業務改善を伴うことを理解しなければならない。その意味でも、個人情報保護責任者と各業務の担当責任者の連携はきわめて重要なポイントとなる。
参考ガイドライン
|
牧野二郎(牧野総合法律事務所)プロフィール
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。