事業所に存在する個人情報を守るには４つの観点があります。

　組織的安全管理措置・技術的安全管理措置・人的安全管理措置・物理的安全管理措置の４つです。

組織的安全管理措置

　組織的安全管理措置とは、事業所の中で個人情報を安全に管理する組織体制を作ることです。個人情報の管理責任者、事務責任者、教育責任者、苦情窓口責任者、内部監査員などの選任から始まり、規定策定や教育、安全確認などを効果的に機能させるための組織を整えることです。

　いくつもの担当を兼任させると、業務と責任があいまいになり安全管理が機能しなくなります。また現実的ではない規則を定めたり、その規則の意義を理解させる教育を省いてしまうと、個人情報管理の規則が面倒だからと、規則を守らない風土が定着してしまいます。

　確かに手順書の類いを新たに作成してそれを業務工程に根付かせることは大変ですが、扱っている個人情報は単なる紙＝資料ではなく事業所の中にある重要資産です。

　もし、ファイルの中に何十枚も挟んであるものが単なるコピー紙ではなくて、すべて一万円札だとしたら、同じような管理をするでしょうか？実は事業所にある個人情報が記載されたファイルとは細心の注意を払い管理する情報なのです。

技術的安全管理措置

　技術的安全管理措置とは、パソコンやサーバーなど電子的にデータを保存する機器やネットワークなどの安全性を技術的な面から守ることです。

　札束にも例えられる個人情報が、紙のファイルではなく電子ファイル＝データだとしたら、金庫＝パソコンやサーバーにどのような安全制御をかけるべきでしょうか。金庫の中のデータにアクセスする時にはどのような認証を要求するのか、見たのか取り出したのか、それぞれの場面に応じて手立てを講じなければなりません。セキュリティソフトの導入と最新化、パスワード管理、いつ誰がどのような経緯で個人情報を取り扱ったのか、などの記録をいつでも確認出来る監視対策も必要です。

人的安全管理措置

　従業員に安全管理の周知・教育・訓練することが人的安全管理措置です。

　システム投資をして技術的にハードルの高い管理ができても、人間の失敗により書類やデータなどを紛失させてしまえば、一貫の終わりです。そこで従業員教育は法律やそのガイドラインにより、事業者の義務として定められています。

　対象は正社員だけでなく、パートもアルバイトも派遣社員も事業主の責任で行い、委託先の管理も委託元の責任になります。

　あなたの会社は個人情報を共に扱う全ての関係者の責任を負っています。だからこそ、個人情報安全管理の意識を等しく高めるような教育と啓蒙が必要なのです。

物理的安全管理措置

　最後に挙げられる物理的安全管理措置とは、事業所などの建物の施錠管理からパソコンや記録媒体などのモノに至るところまでの管理です。

　もちろん事業所内あるいはデータを管理している域内に部外者が侵入することや盗難のリスクにも備えなければなりません。古くなったパソコンや使わなくなった壊れた記憶媒体・例えばUSBメモリやハードディスクの廃棄に至るまでの完全な管理も特に重要です。ハードディスクの廃棄を頼んだ業者からの漏えい事故は記憶に新しいところです。あなたの会社では、廃棄するパソコンのハードディスクからデータが取り出せないように完全消去したり物理的に破壊する措置が行われていたでしょうか。

個人情報保護方針

　さらに、事業所としては、これらの安全管理措置の基となる基本方針の策定を行わなければなりません。いわゆる個人情報保護方針＝プライバシーポリシーです。多くの事業所はこの保護方針を様々な契約書類や外部への案内文書やパンフレット、あるいはホームページに掲載していることと思います。

　しかし、その内容は本当に従業員ひとりひとりに周知されているでしょうか。もしホームページなどに掲載することだけを目的に、適切な管理をすることを文言として載せたとしても、事業所内においてその実行状況が不完全、あるいは従業員に対する指導教育が不十分な状態であったとするならばどうなるのでしょうか。

　個人情報保護方針を対外的に表明すれば、事業所としてその実行の義務と責任が生じ、従業員がその内容を知らない、あるいは実際にその実行が出来ていないことは事業所の虚偽表示とされるのです。

　カタチだけの表明で実際に漏えい事故を起こせば、それは責めとなって返ってきます。また、『個人情報保護方針』を従業員全員に読ませて説明しただけでは、情報の漏えいが本当に起こらなくなるわけではありません。

　具体的な対策としての業務ルールを決め、それらを事業所内で実行しなくてはならないのです。

　自らの事業所で個人情報保護方針とは何なのかを考え、従業員全員が本当に実践できる業務上のルールに書き換える必要があります。

　あえて誤解を恐れずに言えば、方針に書かれた文言自体を全員が知っているよりも、これから仕事で取り扱う個人情報をどのように守るかということを常に意識していること、決められた業務ルールをみんなが出来るようになることの方が重要です。

2つの約束

　新しい従業員が勤めることになった時、その事業所内に入ることとなった瞬間に、従業員と事業所の間では、情報に関するお互いの『２つの約束』を行う必要があります。

　まず一つは、雇い主から従業員への約束です。

　雇い主は、労働の対価として給料を払うわけですから、それに関わる税金や社会保険料の計算をするために、雇用に必要な個人情報のほか、特定個人情報いわゆる「マイナンバー」を預かることとなります。したがって、事業所はその従業員の個人情報を常に安全に管理することを約束することとなり、従業員はそれを了承・同意するという書面にサインをすることが必要になります。

　これは、「個人情報取扱同意書」などといわれます。

　そしてもう一つの約束は、従業員から雇い主への約束です。

　従業員は、入社したその瞬間から内部の人間としてさまざまな事業所内にある情報に触れることになります。そこで外部に知られてはならない事業所内情報、入所者の個人情報・同僚の個人情報など、それらを不用意に外部に持ち出すことのないよう書面のサインをすることが必要なのです。

　これは、「秘密保持誓約書」などといわれます。

　つまり、お互いに情報を守るための双方向の約束です。情報漏えいは、小さなミスから大きなトラブルとなります。そして時に最悪のケースとなれば刑罰に問われる可能性もあります。

　事業所が従業員の情報を守り、従業員も事業所の情報を守る。
安全に仕事が続けられるようお互いを守り合わなければならないのです。

一般社団法人 日本個人情報安全協会　
〒101-0041 東京都千代田区神田須田町1-7-8 秋葉原シグマビル6F
Tel : 03-3518-9941 Fax : 03-3518-9942