個人情報の管理を確実にするテクニック：コンプライアンスに耐える情報システムとは？（2/2 ページ）

[佐藤隆，ITmedia]

プロセスアプローチで個人情報取り扱い業務を把握する

　続いて、コンプライアンス担当者は、各部門のすべきことを明確にするため、業務で行っている作業の一覧表を作成するように促した。これで各部門が個人情報保護のために何をしなければならないのかを認識させることができる。

　社内に存在する個人情報を確実に管理するには、会社にある個人情報を正確に把握しなければならない。インク・コムでは、プロセスアプローチという手法を選択した。これは業務の流れをフロー図によって表現し、そこで取り扱われる個人情報をリストアップしていく方法だ。

　フローチャート、IDEF0（別名機能モデリング）などで表記すれば、業務の流れを的確に把握することができる。IDEF0とは、影響を与える4つの要素（入力、出力、制約、機構）を使って表現するアクティビティを1つの単位とし、業務の流れを明確にしていく手法である。複雑な業務であっても、アクティビティを細かく分けていくことが可能なのが特徴だ。さらに、各部門が作成したプロセスアプローチを1つにまとめれば、インク・コム全体の業務の流れを明らかにできる。プロセスアプローチは、どのような組織であっても作業の流れを確実に把握できるのだ。

　プロセスアプローチは、ワープロソフト、プレゼンテーションソフトを使えば簡単に図化できる。もし、フロー図に記入された個人情報の取り扱いプロセスも一括して処理したいなら、IDEF0という表記方法を推薦したい。「Microsoft Visio Professional」などはこのIDEF0をサポートしており、記述された内容を別アプリケーション向けにエクスポートする機能も備えている。IDEF0を使うには便利なツールだ。

インク・コム営業部の業務プロセス

　図1では、インク・コムが名刺の印刷を依頼された場合の個人情報の取り扱い過程（個人情報のライフサイクル）だ。名刺の印刷を依頼されると同社には、名刺に印刷される個人情報と、依頼者である顧客の情報が入ってくる。これら2種類の個人情報は同社の業務プロセスの中で保管され、加工され、破棄または返却される。この一連の過程を通して、適切な保管方法や廃棄方法を定め、責任者を決めれば、個人情報についての法令を順守する体制ができる。

　その後、把握された業務プロセスの流れを基に、各部門は自部門で通過する個人情報の取り扱い方法とその手順を明確化し、実際の実行状況を経営陣に報告することになる。これら各部門の報告から、経営者は全社の状況を把握し、必要に応じて指示を出すことが可能だ。この仕組みができれば、個人情報保護に関するコンプライアンスはほぼ完成といえる。

佐藤隆