情報漏えい事故発生！というニュースに触れるたびに、自らの事業所においてとりあえず注意は呼び掛けているというレベルでは防止策になりません。今すぐ出来る具体的なポイントを列挙して、みんなで確実に実践しましょう！今回は､事業所として今日から取り組まなければならない4つの分野における具体的施策について述べていきたいと思います。

＜規則と業務管理＞

　１番目は、事業所としての規則と業務管理のポイントです。

　利用者あるいは顧客に対して、自らの事業所がどのように個人情報を預かるのかその方針を表明しなくてはなりません。これが個人情報保護方針・プライバシーポリシーとなるわけですが、参考事例を貼り付けそれにならうのではなく、何の目的で個人情報を預かるのかを今一度考え、ご自身の事業所ではどのように情報を保管し利用をするのか、実情に合わせて定義しましょう。

　個人情報を含む重要書類管理はどのような手順で取得・取扱・管理・保管・処分に至るのかその流れを漏れなく確認できているでしょうか。もちろんそれぞれの作業工程に誰が関わるのか決めなくてはなりません。その業務の流れに沿うカタチで社内規則を策定し、違反した従業員には対してはどのように対処するのかも決めなければなりません。曖昧ではないブレない運用が必要です。

　これらを業務の流れと取扱ルールを社内マニュアルとして作成しましょう。もちろん最初から完璧なものは出来ません。それぞれの業務の在り方、スムーズな運用、事業所全体で取り組めるカタチに進化させていきましょう。

＜スマホやパソコン＞

　２番目は、ウイルス感染やサイバー攻撃なども有り得る、情報漏えいの危険度が極めて高いスマホやパソコンに関するポイントです。

　外部からの攻撃で気をつけなければならないのは『メール受信』です。そして内部からの情報漏えいとして気をつけなければならないのは『メール送信』です。面倒がらず、不注意の無いよう、それぞれの注意事項を徹底して守りましょう。

　当然、ウイルス対策ソフトの導入やアップデートなどは漏れなく適用させていきます。

　外部からサーバーにアクセスする場合、VPN接続などの通信環境整備、システム対策としての自社サーバー対策などは、事業所の事情にあわせて専門家相談して導入を検討していきましょう。

＜建物や保管＞

　３番目は建物や保管に関するポイントです。いまでは、空き巣は金になる個人情報を狙って侵入してきます。建物管理としての防犯は、いままで以上に対策を行うべきです。

　書類やフィアルなどの室内の保管庫管理も同様です。キャビネットに施錠はしてあるが、直ぐに取り出せる場所にその鍵が置いてあるなどという状態の無いようにしてください。

　また従業員の業務においても、重要な個人情報を扱う場所は入室制限やパソコンの使用制限などを行い、取扱者も限られた者にする必要があります。

　USBやデータディスクなどの電子媒体の管理は厳重にして、同じく使用区域や使用者を限定することも大切です。

　さらに使用が終了したデータの廃棄は特に重要です。パソコンもハードディスクの内容が完璧に消去されるまでの作業や破壊をして下さい。データが安易に捨てられ、第三者によって復活・悪用されることが無いようにその最終処分までを把握しましょう。

＜従業員に対する教育＞

　４番目は従業員に対する教育のポイントです。どんなに厳密な社内規則をつくろうとも、どんなにお金をかけてシステムやセキュリティ対策を行っても、所詮は人間が扱うものですから、ミスをしたり悪意のある行動をする者が一人でもいれば、全員が職を失うくらいの漏えい事故が起こってしまうのも現実です。したがって、重要な個人情報という資産を取り扱っているのだという従業員の教育と啓蒙を継続的に続けていかなければなりません。

　従業員は入社して事業所内に足を一歩踏み入れた瞬間から、全員に情報管理の意識を持ってもらいます。どんな事業所も入社した従業員のマイナンバーや個人情報を預かるための同意書にサインをしてもらい、さらに事業所にある様々な情報を外部に流出させないという誓約書にサインをしてもらいます。これは事業所が従業員の情報を守り、従業員が事業所の情報を守るという、お互いを守るという双方向の約束＝契約です。その前提において教育と監督を行います。

　また、事業所は個人情報を共有する外部の業者＝委託先を管理するための非開示契約を締結し、委託先の情報管理状況を監督しなければなりません。

　このような取り組みを事業所として行っていることを、内部の従業員または外部の委託先へ周知していかなければなりません。特に従業員には、なかなか個人情報が重要資産であることの意識を向上させ、かつその意識を常に保持し続けさせるように図ります。

　あらゆる場面で誰もが写真や動画を撮影できるスマホをみんなが所持しており、データ管理の目的から個人のスマホの持ち込みや使用については、事業所の区域において使用制限の措置を取らざるを得ません。

　そもそもなぜ個人情報は大切にしなければならないのか？事業所にあるどんなデータをどんな方法で守らなければならないのか？従業員教育を分かり易く、根気強く行っていかなければなりません。

　また、本当に個人情報が漏えいした場合、外部あるいは顧客から情報漏えいの事実が知らされた場合にどのような対応をすべきかを決めておいて、時には防災訓練のように事故発生を想定をした内部での訓練を行うことも、いざという時のために非常に重要なことです。

　以上各ポイントを示した図表の項目について再度チェックを行い、何が実際に出来ているのか？そしてまだ何が出来ていないのか？を整理してください。

　今年2020年6月の3年ぶりの個人情報保護法改正では、個人情報の保持において様々な記録を取ることを義務として規定されました。そのような背景から事業所内の情報管理はますます社会からも厳しく問われることになるでしょう。法律改正の求めるところにより、どのように取り組むかが問題の本質ではなく、どんなカタチで顧客から預かった個人情報を守ることが出来るか事業として考え、直ぐに実践することが肝要です。

一般社団法人 日本個人情報安全協会　
〒104-0031 東京都中央区京橋 1-1-5 セントラルビル2F
Tel : 03-3518-9941 Fax : 03-3518-9942