個人情報保護のコンサルティングを実施する際,最初のミーティングで担当者から必ず聞かれるのが「個人情報保護って,どこまでやればよいのですか?」という質問です。残念ながら,これは私には判断できません。なぜなら,その会社の業務内容を詳しく知らなければ,どんな個人情報があるかもわからないからです。
私は正直に「わかりません」と答え,「みなさんはどう思いますか?」と逆に質問をします。それでも担当者の多くは,「同業種の他の企業ではどのくらいやっているのか教えてほしい」とか,「法律ではどこまでやればよいと規定しているのかを教えてほしい」と私に答えを求め,なかなか食い下がりません。
個人情報保護の目的は?
やる気があるのは良いのですが,そのような態度では,適切な個人情報保護を実施することは難しいでしょう。そこで私は,「個人情報保護を実施する目的はそもそも何ですか?」と,自分自身で考えてもらえるよう水を向けます。担当者の回答は,おおむね以下の3つに分類できます。
(1)個人情報保護法に違反したくない
(2)これを機会に顧客満足度を向上したい
(3)情報漏えい事故で会社をつぶしたくない
「個人情報保護法に違反したくない」という企業は,法律に書かれていることをそのまま実施すれば十分です。それほど難しいことではありません。
具体的には,顧客からの苦情対応を適切におこないます。また,その際に説明責任を果たせるように,普段から,あらかじめ提示した利用目的の範囲で個人情報を利用します。加えて,安全管理を実施するとともに,トラブルに備えて個人情報の取り扱い記録を残しておけば,「個人情報保護法に違反したくない」という目的を果たせます。
顧客本位で考える
このような話をすると,「安全管理をどこまでやればよいのかわからない」と言う担当者がいます。これも,適切な安全管理を実施しているかどうかを判断するのは誰なのかを考えれば,迷うことはないでしょう。判断するのは,顧客と監督官庁の大臣です。ですから,顧客ときちんとコミュニケーションし,なおかつ,監督官庁が提供するガイドラインを参照すれば,適切な安全管理を実施できるでしょう。
「顧客満足度の向上」についても,個人情報保護法をきちんと守っていれば,まず実現できるでしょう。個人情報保護法のスキームは,「顧客(本人)からの苦情」がすべての始まりになっています。この苦情に適切に対応することが,個人情報保護法を守るためには不可欠です。つまり,個人情報保護法を守っていれば,顧客満足度の向上が図れるでしょう。
そもそも,適切な個人情報保護対策を実施して,顧客の権利を守ることに努めていれば,その姿勢は必ず顧客に伝わります。それが結果的には,顧客満足度の向上につながると考えられます。
また,顧客からの苦情を待つばかりではなく,個人情報保護の現状について,顧客の声を積極的に聞くようにすることも重要です。最近は,個人情報保護のやり過ぎや勘違いなどがよく取り上げられます。自社がやり過ぎや勘違いに陥っていないかどうかは,顧客に聞くのが一番です。判断するのは顧客なのですから。
客観的にとらえる工夫を
「情報漏えい事故で会社をつぶしたくない」という場合も,まずは,個人情報保護法を順守することが第一です。保護法を守っていれば,情報漏えい事故を起こす可能性を低減できます。
ただ,ここで注意しなければいけないのは,可能性をゼロにはできないということです。個人情報保護法に違反しなくても,情報が漏ろうすることはありえます。この場合,刑事罰は与えられなくても,契約違反やプライバシ侵害などで訴えられる可能性があります。企業イメージも失墜するでしょう。つまり,個人情報保護法を守っていても,情報漏えい事故で会社がつぶれる可能性があるのです。
会社がつぶれないようにするには,個人情報保護法を守るだけではなく,個人情報が漏えいしないような対策を実施する必要があります。情報漏えい対策には,さまざまな方法がありますので,それぞれの詳細については今回の記事では述べません。その代わり,対策を効果的に実施するためのポイントを以下に紹介しますので,組織内でぜひやってみてください。
(1)まずは個人情報を扱っている部署の担当者を集めます
(2)次にそれぞれの部署で扱っている個人情報を使って,会社に損害を与える方法を考えます。「○○にある個人情報を○○のように利用して○○円の損害を与える」というテーマでいくつも考え,できる限り大きな損害を与えられるようなやり方を検討します
(3)他部署の担当者の前でこれらの発表をします。他部署の担当者はどのような対策をすべきかを提案します
(4)その個人情報が生み出す価値と,対策にかかるコストを比較して,対策案が有効かどうか検討します
情報セキュリティに限らず,ある問題に頭に悩ませている当事者が,その問題に一番通じているといえるでしょう。ただ,「傍目八目」の言葉にあるように,問題を客観的に見られなくなっているために,解決方法までたどりつかないことがままあります。
そこで,上述のようにそれぞれの担当者が集まって,互いに問題を客観的にとらえることが,解決の糸口を探るためには効果的です。その上で,より客観的な“答え”を求める場合には,社外のコンサルタントなどに相談すればよいでしょう。
次回は「不正コピーとバックアップの違い」をテーマに,情報セキュリティの役割について解説します。
| 「セキュリティ・マネジメントの勘所」は,ディアイティのセキュリティガバナンスビジネス部部長の河野 省二氏による技術コラムです。河野氏は,BS7799スペシャリストやCISSP,公認情報セキュリティ主任監査人などの資格を持つ,情報セキュリティの専門家です。日本セキュリティ監査協会(JASA)スキル部会の副部会長であり,同協会の監査人資格制度 研修・トレーニング講師や高度IT人材アカデミー 情報セキュリティ担当講師,(ISC)2 CISSPオフィシャルセミナー講師などを務めています。経済産業省の情報セキュリティガバナンス委員会にも参加されています。本コラムでは,情報セキュリティ対策やマネジメントに関する話題について,河野氏に分かりやすく解説していただきます。(編集部より) |
