個人情報保護対策の想定問答集：個人情報保護コラム

個人情報の保護についての想定問答集を作る企業が登場してきた。社員に対して個人情報の説明会を開催する時間がないなら、せめて想定問答集だけでも配布すれば、重要性を再認識させる効果はあるだろう。

[佐藤隆，ITmedia]

　就職面接時の想定問答集、株主総会での想定問答集……世の中にはいろいろな想定問答集が存在する。そして、とうとう個人情報の保護についての想定問答集を作る企業が登場してきた。もちろん取り扱いは要注意であるが、何もしないよりはいい。想定問答集の注意点を紹介する。

破棄する方法は定められていますか？

　想定問答集にある質問の中に、情報の破棄に関する質問がある。模範回答では、「紙はシュレッダーを使って廃棄しています。CD-RやMOを破棄する場合には、各自が物理的に壊しています」と書かれている。個人情報が記述された紙や電子媒体の処分方法については問題ない。しかし、すべての企業にとって、模範解答では十分とはいえないので注意する必要もある。

　例えば、紙のシュレッダーによる廃棄は、環境問題に取り組んでいる企業には向いていない。あまり知られていないが、シュレッダーによって裁断された紙は、その繊維も切断されてしまう。このため、再生紙には使用できない。逆に再生紙に使用できるレベルで裁断すれば、記載された個人情報の機密性は損なわれてしまうし、結果として焼却されることになる。

　環境という観点で考えると、紙の場合は機密文書用の専用ボックスを設置して回収し、溶解処理する業者に出すのが望ましいが、コストの面ではシュレッダーの方が有利である。それもあってか、昨年から個人情報の漏えい対策として導入されるシュレッダーの台数は急増した。今後、環境問題を考慮した対策が浸透すれば、将来はシュレッダーから機密文書回収業者に破棄を依頼する方法へ切り替わっていくのかもしれない。

委託先との契約に、個人情報に関する合意はありますか？

　取引をする企業が個人情報の保護に関する取り扱いをきっちり行っていても、一部の業務を外部に委託していることも少なくない。顧客情報を処理する業務を請け負っているが、そのうち顧客ごとに資料を送信する業務だけは別の会社に委託するといったようなケースである。想定問答集では、「契約内容には秘密保持に関する合意がされています」とある。

　しかし、個人情報によっては、秘密情報ではない場合も存在する。メールアドレスのように、既知な情報の場合は該当しないケースがある。厳密に考えると、個人情報の保護に関する「誓約書」を事前に合意しておくことが望ましいのである。また、委託先に業務終了後に個人情報の消去までお願いしているケースも時々ある。そのような場合には、廃棄証明（マニュフェスト）を取っておくことが望ましい。

　委託先との契約に関しては、既に契約書が交わされている場合が多い。内容の見直しは、1年単位で行うことになっていることが多いが、個人情報保護法が施行される4月以降に、契約内容がどのようになっているかは企業によって差が出てくるだろう。

顧客からの情報開示に対して、会社の方針はありますか？

　顧客から質問された場合は、情報開示される対象によって対応も異なる。そのため、「個人情報保護法との適合性を考慮して対処します」「個人情報保護指針（プライバシーポリシー）をホームページで公開しております」という一般的な回答になりやすい。しかし、事前に準備しておかないと、情報開示による請求が集中すれば回答が間に合わなくなる可能性がある。

　そこで企業は、事前に開示情報と非開示情報の範囲を明確にしておく必要がある。非開示情報の代表的な例として、問い合わせの目的とは異なるような、過去の契約記録に関する個人情報（紹介者に関する情報）があるかもしれない。また、多くの企業がWebサイトで公開している個人情報保護指針は、個人情報保護法が制定される以前に作成されている。経営陣の署名が入っているものも多いので、最終チェックをしておくといいだろう。

　このほかにも、「開示までの日数はどのくらいですか」「手数料はいくらですか」といった、具体的な質問に対しても踏み込んで回答できるものがあった方がいいだろう。

---

　想定問答集だけを頭に入れていても万全ではないが、想定問答集は要点を的確に押さえることにつながる。全社員に対して個人情報の説明会を開催する時間がないならば、せめて想定問答集だけでも作成・配布すれば、個人情報の取り扱いの重要性を再認識させる効果はあるだろう。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。