個人情報保護対策−企業・団体のための個人情報保護支援サイト

  • トップページ
  • 設立の目的
  • 活動基本方針
  • 事業概要
  • 会員の種類及び入会条件
  • 会員特典
  • 資料請求
会員特典
  • ロゴのダウンロード
  • 弁護士への相談
  • PiiPシール
  • 模擬試験ID

  • 過去問題集
  • PiiPバッジ購入
  • 書籍購入
  • 講習会申込
 

 

浮き彫りになる企業の課題
 

個人情報保護法が実施される前と実施後の個人方法の捉え方と対処方法

 

施行前
施行後
企業が集めた顧客情報 「企業の財産」「営業秘密」として保護されている。 「個人情報」という認識がプラスされる。企業の財産として自由に取り扱うことはできない。
個人情報の開示 個人情報の開示請求権は一般的には認められない。 開示の義務がある。
公開情報の利用 本人に対して何もしなくてよい. 利用目的を本人に通知し、または公開しなければならない。
情報漏洩 民事の損害賠償請求 民事で損害賠償請求プラス行政処分。

 

 これらを遵守するために、セキュリティポリシの策定、プライバシーマークの取得や、物理的セキュリティ対策、データへのアクセス制御、ネットワークセキュリティ対策と、実に多くの実現するべき項目が挙げられるのだが、大手企業でない限り全ての対策に対応することは難しい。

まずはもっと簡単に考えてみよう。

 最初に抑えるべきは、コンプライアンス(法令遵守)・コーポレートガバナンス(企業統治)・プランドマネジメント(ブランド価値)という観点から、情報セキュリティリスクに関する『運用基本ルール』を策定することである。

 すなわち、物理的セキュリティ、データアクセス制御、ネットワークセキュリティだ。

 そのためにも、まず社内のスタッフに個人情報が保護されるべき情報であり、正しい収集や取り扱い方法を認識させること、そして保有個人データの開示や利用停止等を求められた際に適切な対応を取れる運用を実現する体制を整えねばならない。

 

 451万件の顧客情報流失という、2004年3月のソフトバンクBB事件では、同社に大きなダメージを与えた。しかし、その後CISO(情報セキュリティ最高責任者)に就任した阿多親市常務を中心に、さまざまな対策を進め、現在では「情報セキュリティの最も進んだ企業になった」と自負するまでになった。

 このようにすぐに対応できるだけの体力のある企業はよいが、そうでない企業の場合、同社のケースをそのまま参考にすることは難しい。しかし、阿多氏の執務室に貼ってあるという「従業員が守らなければならない8項目」については、どの企業もすぐに実施できることとして参考になると思うので、ここでご紹介したい。

 

●従業員が守らなければならない8項目

 (1)社員証の常時携帯、(2)各フロアの共有エリアの管理、(3)デスクの整理、(4)書類の保管、(5)貸与外パソコンの持ち込み禁止、(6)ノートパソコンの保管、(7)パソコン画面の保護、(8)パスワードの管理

 

 まず手始めに、この8項目についての社内規定を設定していくことからはじめてはいかがだろうか?