個人情報保護法(平成15年法律第57号)の2005年4月1日施行に向けて、民間事業者は個人情報保護の仕組みを作らなければならない。
経営者の基本方針に沿ってリスクアセスメントを実施し、リスクアセスメントの結果に基づいた業務規定、共通的な内部規定・手順書およびマニュアルなどの文書が完成して、個人情報保護のマネジメントシステムが確立したら、次はそれを実施し運用に移す。(TBCソリューションズ主任コンサルタント 植野俊雄)
最初に、役員や従業員(臨時員、派遣者などを含む)に対する教育を実施する。基本方針の理解、個人情報保護の取組みの重要性、従業員各人の役目と責任、漏洩した場合の結果の重大性の認識、各人が関わる業務のルール──などを周知・徹底しなければならない。
運用に入ったら、決められたルール通りに運用しているか、紛失・不正アクセス・漏洩などセキュリティ事故が発生していないか──などについて、日常的な監視と定期的な確認が必要である。 従業員が日常業務のなかで発見するセキュリティ上の問題や、疑問や気付いたことは、すみやかに上長を通して、個人情報保護の管理責任者に報告されなければならない。従業員の異変の見逃しや上長による報告の遅延や安易な判断による放置は、大事故・事件の芽を育てることになるので、そうならない風通しの良い仕掛けが必要である。
また、年に1回以上定期的な内部監査を実施し、運用状況、実施した管理策が有効か、必要な経営資源が投入されているか──などについて監査しなければならない。内部監査の結果は、経営者に提出する。経営者は、内部監査の結果を、マネジメントレビューの場での見直しの参考にする。
確立した個人情報保護のマネジメントシステムを実際に運用してみると、文書の不整合や不備、運用し難い点やセキュリティ対応が不十分な点などが出て来る。これら不備な点などは随時是正(問題点を修正するとともに、類似の問題が再発しないように対処する)していく。ルールに沿った運用の早期定着と、それによるセキュリティ事故防止を達成するように運営していく。
次回は、プライバシーマーク取得について解説する。
