第3回 個人情報の棚卸し：企業がとるべき、個人情報保護対策（3/3 ページ）

企業が行うべき、具体的な個人情報保護対策を紹介するシリーズ。第3回では、社内にどのような個人情報が山積しているのかを把握する「個人情報の棚卸し」手法を解説する。

[佐藤隆，ITmedia]

　以上4つの手法を駆使すれば、企業が保有している個人情報の9割は把握できる。残りの1割は、個人情報を調査している間にも、企業が業務を継続しているため発見できない箇所があるからだ。次のような個人情報は発見が難しいので注意したい。

追加された個人情報　調査後に新しく追加された個人情報としては、すでに業務で遂行されていたアンケート集計に関する個人情報、バックアップ媒体に保管されていた個人情報がある。

削除された個人情報　個人情報を調べていくと、名簿業者から購入した個人情報などが発見されることがある。このため、指摘される前に処分するケースが見られる。

外部業者に預けた個人情報　商品をまとめて発送する業務では、梱包から配送までを外部の業者に依頼することがある。送り先に関する個人情報は、業者に渡されることになり、責任者の把握、回収方法（もしくは破棄方法）などを含めた調査が必要となる。

　取引先から預かっている個人情報　自社が外部に委託する逆で、顧客や取引先から個人情報を一時的に預かることがある。調査した段階では個人情報が発見できなくても、業務の流れで預かるような場合は、その取り扱いについても十分考慮しなければならない。

表1●個人情報が存在する代表的な場所

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　個人情報の棚卸しを実施すれば、企業ルールに定められていないケース、企業ルールの矛盾など曖昧になっている問題点を明らかにすることができる。企業が保有する情報をすべて見直すには相当な労力と時間がかかるが、個人情報だけに注目すれば短期間で完了する。個人情報が流出することによって引き起こされる企業の損失は、従業員の危機意識を芽生えさせ、積極的な協力を得やすい。したがって、企業が最初にとるべき対策は、個人情報の棚卸しなのである。

　次回は、個人情報の棚卸しの手法をはじめ、技術面、マネジメント面で企業のよき相談相手となるコンサルタントの業務、個人情報の管理に求められるコンサルティングについて解説する。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***