企業として、個人情報保護法とどのように向き合っていけばよいのか? 具体的な対策を紹介するシリーズ最終回では、個人情報保護対策を確立した後の対外的なアピール方法について解説する。
これまで、企業が個人情報の保護を確実に行う方法について説明してきた。経営者から従業員まで企業が1つになって、個人情報保護に関する十分な知識を身につけ、業務に活かすことができたとしよう。次はその成果を既存顧客はもちろん、今後のビジネスにプラスになるようにアピールしなければならない。
そこで最終回では、個人情報の保護を確保した企業のアピール方法について解説する。
個人情報保護対策を万全に行っていることを顧客に伝えるには、さまざまな方法がある。業種によっても異なり、顧客が一般消費者か企業かでもアピールする方法は異なってくる。しかし、一般に次のような方法がよく用いられる。
「視察(見学)」
工場などで地元住民の理解を得るために実施されているのが視察(見学)である。これは個人情報保護対策のアピールにも有効で、実際にいくつかのデータセンターでは、学生や企業を対象とした見学会を行い、安全性の高いシステム運用を紹介している。
データセンターは一般的に物理的なセキュリティを確保しているため、自社ビルにサーバを設置するよりも安全かつ、データセンターにリスク移転できるというメリットがある。個人情報を確実に運用しているかを顧客が確かめたいとした場合、データセンターを利用している企業では、センターを案内することが増えてきている。
「自己宣言(宣誓)」
経営者が個人情報の保護を確実に行っていることを表明するには、個人情報保護指針(プライバシーポリシー)をホームページに公開する方法が使われている。ただし、自己宣言がすべての顧客に有効に機能するとは限らない。経営者が取引先に「個人情報の保護は万全です」と言えば、ある程度顧客は信用してくれるかもしれない。
しかし、住民基本台帳ネットワークですら、総務省が先に調査を実施し、当時の片山大臣が安全宣言をしたにもかかわらず、長野県がセキュリティ調査(*1)を実施したように、不安をすべてぬぐえるものではない。
長野県と総務省による調査結果がどうであれ、明らかなことは、自己宣言によるアピールには限界があるということである。システムを構築した事業者、運用事業者といった利害関係者以外の第三者によって調査が実施される点がポイントである。これまでは、組織のトップが言うのだからと、おおむね信用されてきたことが、個人情報の保護については、自己宣言だけでは不十分であると経営者は認識した方がよい。
(*1)住基ネットに係わる市町村ネットワークの脆弱性調査最終結果について/住基ネット対応チーム(長野県)
「契約書へのセキュリティ事項の追加」
個人情報保護法の施行を前に、取引先との契約内容の見直しが急速に広まっている。すぐに取引先から契約内容の見直しが求められることが一般的だが、契約更新時にセキュリティ要件を追加する方法もある。契約は自社にとって有利であることが望ましいので、すぐに見直しを迫られ、時間がないために不利な条件をいくつも追加する事態は避けるべきである。最初にアンケートのような形で顧客の意見や要望を集め、競合する企業のサービスレベルと比較しながら選んでいく方法が有効である。
「二社監査」
個人情報の管理方法を外部に公開することは、逆に内部の事情をさらけ出してしまうことにつながる。内部の情報を悪用されないために、取引企業同士が互いに個人情報の管理について評価する方法がある。これが二社監査である。個人情報保護に関する二社監査は、利害関係者ではあるが、客観的に評価できるため相手の企業に自社の対応策をアピールすることができる。
「第三者による認証制度の活用」
プライバシーマーク制度(Pマーク)、ISMS(情報セキュリティマネジメントシステム)適合性評価制度などは、利害関係のない中立的な立場で一定の基準を満たしているかを評価する制度である。
この認証を取得すれば、マークの使用が許可されるので、顧客にもわかりやすくアピールすることができる。直接消費者と取引があり、個人情報を取り扱っている場合にはPマークが適し、企業間取引が多く、取引データに個人情報がある場合には、ISMSが向いていると言われている。
なお、現状Pマーク制度に関しては、個人情報保護対策を急ぐ企業が多く、またISMSよりも取得費用が安価なことから、審査待ちの状態が続いている。
Copyright © ITmedia, Inc. All Rights Reserved.