岡本 悦弘
<個人情報保護とプライバシーマーク制度>
~付与認定後の運用を意識したコンプライアンアスプログラム構築のポイント~
個人情報保護法が平成17年4月に完全施行されて既に半年が経過した。この間、個人情報の漏えい事件が毎日のように報道され、各企業は個人情報保護対策を迫られている。
個人情報保護対策の一つとして、プライバシーマーク制度の付与認定(JIS Q 15001に準拠したコンプライアンスプログラムの構築)を目指す企業が多くなってきている。既に付与認定企業は、平成17年9月末現在で2,000社を超えており、特に情報サービス・調査業は全付与認定企業の5割以上を占め、付与認定が企業間取引の前提条件となっている例もある。
業種によっては、プライバシーマークの付与認定がなければ企業存続にも影響のある状況になりつつあるが、それではプライバシーマークが付与認定されていれば個人情報は保護できるのであろうか。また高額な物理的対策やネットワーク対策を実施しなければ個人情報を守ることはできないのであろうか。答えは否である。
プライバシーマーク制度の付与認定は、経営者の付与認定宣言から審査機関による付与認定まで1年近くの期間を必要とする。また付与認定に関わる担当者の人件費や構築の途中で個人情報漏洩のリスクを把握し、必要に応じて入退室管理やネットワーク対策などの物理的対策費用をかける必要もある。このように付与認定のためのコンプライアンスプログラムの構築には、多くの時間や費用をかける必要があるが、経営者はプライバシーマークの付与認定がゴールではなく、付与認定後の日々の運用こそ重要であることに留意して仕組みを構築する必要がある。
プライバシーマーク制度は、付与認定後、2年間は審査機関による審査は実施されない。つまり付与認定後2年間、何もコンプライアンスプログラムに基づく活動をしなくとも、情報漏洩事故を起こさない限りプライバシーマークの使用は可能である。
実はここに大きな落とし穴がある。実際に、更新時期を向えたが活動記録結果を全く残していない、あるいは付与認定時の担当者の退職や人事異動により社内に仕組みを理解している社員がいない等の理由により、更新辞退という形でプライバシーマークの使用を中止する企業も事例として発生している。
また構築したコンプライアンスプログラムが実際には機能せず、情報漏洩事故が発生してしまった場合には、プライバシーマークの付与認定が取り消され、審査機関とのプライバシーマーク使用契約が解除されることになる。このような事態は、企業信用の失墜につながり、企業存続上、多大な影響が発生する可能性が高い。
プライバシーマークの付与認定を受けていないというリスクより、一度付与認定を受けたものが取消され、あるいは更新辞退により継続できないというリスクのほうが企業経営上大きな問題となることを経営者は理解してコンプライアンスプログラムの構築にあたらなければならない。
以下に、プライバシーマークの付与認定にあたって見落としがちなポイントについて記す。現在、コンプライアンスプログラムを構築中、あるいは既にプライバシーマークの付与認定済みの企業においても参考になれば幸いである。
(1)規程・マニュアル作成のポイント
昨今のように個人情報保護や情報セキュリティに関してあまり意識しなくともよかった今までの業務の中では、情報セキュリティ(特に個人情報保護)に関する規則・ルールは少なく、したがって規程類・マニュアル類にもその点についての記載は少ない。またコンプライアンスプログラムを構築する上でも、新たに規程類・マニュアル類を作成する方が、既存のものを見直しし、追記するよりも容易である。
以上の点より、コンプライアンスプログラムを構築する上で、既存の規程類・マニュアル類とは別に、個人情報保護を中心とした情報セキュリティに関する新たな規程類・マニュアル類の作成が必要となる場合もある。
しかしコンプライアンスプログラムの構築だけに目が行くと、業務用と情報セキュリティ用の2つの規程類・マニュアル類が並存することになり、付与認定後の運用上、非常に使いにくいものになる可能性がある。個人情報は日々の業務の中で取り扱われるものであるため、その保護についても日々の業務の実践の中で守っていく必要がある。
特に既存の規程類・マニュアル類が、しっかりと作り込まれている企業においては、この点に留意し、規程類・マニュアル類の改訂する必要がある。
(2)教育と日々の実践の中での意識付けのポイント
個人情報保護を中心とした情報セキュリティの保護においては、従業員の教育は非常に重要である。例えどんなに費用をかけて、入退室管理やネットワーク対策を実施したとしても、それを守るべき従業員の情報セキュリティに対する意識づけが低ければ、個人情報の保護は困難である。日々の業務において従業員が教育の実施内容や規程類・マニュアル類を常に意識しながら実践していくことは難しい(多くの従業員は、厚い規程類やマニュアル類は読まない)。よって、教育の実施内容や従業員として最低限守るべきポイントについてまとめたポイント集を、教育の中で配布し、意識づけることが必要である。
A4用紙で数枚のポイント集であれば、多くの規程類・マニュアル類を見なければならないという煩雑さからも解放され、日々の運用の負荷を軽減することができる。ポイント集以外の実践上の不明点等については、個人情報管理責任者への問合せにより解消することで通常業務内でのセキュリティの維持・確保は十分可能である。
(3)セキュリティを維持するための恒常的組織の運用のポイント
プライバシーマーク制度は、コンプライアンスプログラムの構築段階で委員会組織を正式に立ち上げ、付与認定後も個人情報保護のための恒常的かつ公式的な組織として活動を継続していく必要がある。コンプライアンスプログラムは、一度構築してしまえば終りではなく、継続的に社内外のセキュリティに関する状況を把握し、対応可能なもの、緊急的に対策が必要なものについて順次対策を実施していく必要がある。
対策を実施していくうえで、対策費用が必要なものもあるため、意思決定のできる経営層も委員会組織に参画し、迅速かつ動的に組織活動を運営する。組織構成は、全社横断的に人員を集め、社内システム管理者などのスペシャリストの参画も必須である。
活動は、定期的(必要に応じて随時)に決められた周期で必ず定例会を実施し、各部署より情報セキュリティに関する問題点、課題を持ち寄り、検討を実施する。
情報セキュリティ対策は際限がなく、一度に全てを対策することは不可能であるため、対策にかけられる予算等も含め、今年度はどこまで対策を実施するといった対策範囲を決めて、継続的にスパイラルアップを図っていくことが必要である。
このような、自律的かつ動的で小回りの利く組織による継続的な改善活動が組織のセキュリティ向上においては最も重要である。
以上の点を踏まえ、経営者は単にプライバシーマークの付与認定を目指すのではなく、付与認定までの構築の過程への積極的な関与、構築後の運用を考慮し、経営と一体となったコンプライアンスプログラムの構築を目指すことにより、個人情報保護、セキュリティの確保が可能となる。
□ 岡本 悦弘(おかもと よしひろ)
日本大学文理学部史学科卒業
中小企業診断士、ITコーディネータ、システム監査技術者、情報セキュリティアドミニストレータ他
