個人情報保護法とその対策について

2017年8月30日

個人情報漏えいの恐ろしさ

 個人情報漏えい事件が頻繁に報道されています。
 極端な情報漏えいは企業の存続すら危うくする大きな企業リスクです。

 思い出すのはYahoo BB!とジャパネットタカタですか。

 Yahoo BB!では、約452万件の個人情報ですから、500円の商品券で謝罪しましたが、なんと約23億円もの出費になります。

 ジャパネットたかたは1ヶ月半程度の営業自粛を余儀なくされました。

 2003年度の売上高は705億4000万円でしたから、1ヶ月半営業自粛しますと、これまた約90億円の売り上げダウンということになります。

 御社の社員は、個人データを持ち歩いてないですよね?
 また、パソコンを持ち歩く営業マンが、車に置き去りなんてことも無いですね。

 そうした教育体制についてはしっかりしていますか?

過去の情報漏えい事件から学べること

その1:

 情報漏えいに対するデメリットは、社会的信用の失墜及び賠償問題にも発展する

その2:

 メディアの大容量化、PCの高性能化で、大量のデータが一瞬で持ち出しできる

その3:

 データを簡単にコピーされてしまうことで、事実上被害の復旧は不可能になる

その4:

 情報漏えい事実は、顧客を含めた外部から発見され、管理体制の不備が問われる

情報漏えい対策への社長としての意識しておきたいこと

 経営者は、「従業員や顧客の個人情報を預かっているオーナー」という意識をしっかりと認識する必要があります。

 それは上記のように、損害賠償や風評のリスクがとても大きいからです。

 情報漏えい対策を徹底することは、顧客満足度を上げるための“戦略的なツール”であるという意識が重要です。

 もはや情報漏えいは他人事ではありません。
 賠償責任の回避と顧客への安心感を向上させるツールと言えます。

 その対策については早々に案を検討し、実施することをお勧めします。

『プライバシーマーク制度について』

プライバシーマークとは?

 この情報漏えい事件の大半は「ヒト」が介在しています。従って技術的な対策だけでは、事故は防止できません。

 そこで今注目されているのが「プライバシーマーク制度」です。

 「プライバシーマーク制度」はJIS Q:15001とも呼ばれ、JISに規程されています。

 個人情報保護JISに適合した「コンプライアンス・プログラム」を整備し、個人情報の取扱いを適切に行っている事業者を、第三者機関が認定します。

 その第三者機関はJIPDEC(及びその指定機関)と呼ばれています。

 その証としてプライバシーマークと称するロゴの使用を許諾する制度です。

 仕組みはISOに似ていますね。それも14001(環境)に似ています。

「コンプライアンス・プログラム」とは、「個人情報保護に関わるすべての社内活動」というふうに捉えます。

プライバシーマーク構築と運用の手順

 プライバシーマークの手順は

  1. 社内の個人情報を特定する
  2. その個人情報が漏れそうなルートを予想する
  3. そこから考えられるリスクを想定する
  4. 特定した個人情報の重要度をランク付けする
  5. その対策をランクに応じて計画し、実践していく
  6. 規程関係も整備し、全体として整合させる
  7. 教育については体制を定め、継続的に徹底する
  8. 自社で内部の監査を行い相互チェックする
  9. 経営陣は継続的に改善できるよう見直しを徹底する

というような感じです。

プライバシーマークに沿って、社内の規程や体制を整備すると効果的

 プライバシーマークに沿って、社内の規程や体制を整備すると効果的でしょう。

 そしてコンピューターセキュリティーを強化して、各種ルールを教育で徹底していくことが効果を高めることになります。

 教育は費用対効果を考えても非常に有用です。

 規程整備の際は、「個人情報の部分」だけを付け足すのではなく、就業規則まで踏み込んでの見直しや整備が重要です。

 ルールを定め、そして体系化していくことは大変な作業ですが、企業としての信用失墜や損害を考慮すると避けられません。

個人情報漏えい保険とプライバシーマーク

 損害保険で「情報漏えい保険」が発売されております。もし危険を感じる企業の方は、加入を検討されたほうが良いでしょう。

 ただし保険は事後的ですね。

 予防手段についての事前対策がプライバシーマークになります。事前の予防、そして賠償への対策として保険の準備、共に重要です。

 そういえば、「情報漏えい保険」もプライバシーマーク制度導入で、割引制度があるようです。

 当然だと思います。

プライバシーマーク認定のメリット

 個人情報の取扱いが適切なことを示すため、プライバシーマークの認定は高いPR効果が考えられます。

 どういった対策が必要かイメージできない企業は、プライバシーマークの要求事項を研究すると、自社における“穴”を把握できると思います。

 また、取引先企業から安心して仕事を任せてもらうためにも、更に多くの企業と取引を拡大するためにも、 認定は優位となります。

 ISOに比べてプライバシーマークは審査費用は安く設定されています。

 ただし、今は審査が集中しているそうで、知り合いのコンサルタントは、現在は審査待ち“4~5ヶ月”にもなっていると、言っておりました。

顧客情報だけが対象ではない

 プライバシーマークは、オンライン/オフラインなどの入手経路を問わず、顧客情報以外にも、社員情報や採用情報など、自社内で保有する個人情報についても適用されます。

 労働者名簿などは、結構おざなりに管理されたりしています。そうした対策にも有効であると言えます。

 企業にとって個人情報保護とは、ただの法令遵守というだけではなく、“顧客満足(CS)”の一部として重要な位置付けになってしまいました。

 企業と顧客は「1to1サービス」的になってきており、そうした側面を強化する意味でも重要な戦略として捉えられます。

さて、やっていない企業は・・・・・?!

個人情報が漏れてしまったら中小企業は破産するよ