横浜産業新聞
larger smaller reset larger
Home arrow 連載/コラム arrow プライバシーマーク入門講座(連載:第14回)

注目記事

先進企業のCSR


広域産学連携


100年企業の条件


MH_cornor


SP_cornor

RSS配信

プライバシーマーク入門講座(連載:第14回) プリント
2007/10/14 日曜日 20:34:41 JST
「個人情報保護マネジメントシステム」の構築に向けて(第9回)
  ~内部規定の作成(第6回~


d)事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定

 "JIS 3.3.4資源、役割、責任及び権限"の中に規定された事項である。
 「事業者の代表者は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知しなければならない。」と定めており、事業者の代表者が決めた、責任及び権限を、文書化した規定として定めることを求めている。
 権限及び責任に関連して、JIS 2. 用語及び定義には、[個人情報保護管理者]と[個人情報保護監査責任者]の定義が示されており、そちらも参照すること。
 ここでは、[個人情報保護管理者]と[個人情報保護監査責任者]、[教育責任者]、[苦情・相談の受付責任者]、[システム管理責任者]、「入退室管理責任者」、[鍵管理責任者]、等々や、業務の実施における各部門や階層の個人情報の取扱いに際しての責任と権限を必要に応じて定め、規定化する。
 しかし、文書(規定、手順書等)の作成における責任と権限や、日常業務における確認・承認の責任と権限はここに定めても良いが、文書管理規定や、それぞれの個別の規定や手順書の中で定めても良い。
 尚、"権限及び責任に関する規定"としては、「業務分掌規定」や「職務権限規定」を持っている企業も多いし、また、マネジメントシステムとしてのISMS(ISO- 27001)、ISO-9001 や 14001の中で定められた"権限及び責任に関する規定"を持っている所もあると思う。

 企業におけるマネジメントシステム(経営管理)としては、個人情報の保護に関する責任と権限も実際の業務の実施とは切り離せないものであり、上記のような全ての業務における責任と権限を網羅したものとして1本化した規定とすることも検討に値するであろう。
 文書(規定、手順書等)の作成や、日常業務における確認・承認の責任と権限を規定する上においては、「個人情報保護マネジメントシステム実施のためのガイドライン」(「実施のためのガイドライン」と呼ぶ)を参照する。
 そこでは、PMSの構築、運用上の責任と権限について細かく定めている。
 JIS Q 15001(PMS)は、全社(組織全体)としての適用を原則としており、従って、重要な事項、企業レベルでのPDCAを回す上における、PやC、Aの部分に対しては、最終的な承認は事業者の代表者(通常は社長)が行なうことを求めている。
 また、Dの部分は大部分、個人情報保護管理者の承認を求めているが、一部重要な事項は事業者の代表者への報告を求めているので注意を要する。
 しかし、上記のような権限を設定し、実施することは、規模がそれほど大きくない企業においては可能であろうが、規模の大きな企業、特に支店等、多くの事業拠点を持つ企業にとって、いちいち、"事業者の代表者(通常は社長)"や本社に一人だけ任命されている"個人情報保護管理者"の承認を得て業務を進めることは、日常の企業の運営においては迅速性や効率性の面からも難しいことが考えられる。

 この点に関連し、経済産業省で公表している{「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A( http://www.meti.go.jp/policy/it_policy/privacy/q&a.htm )では、「ガイドラインに記載されている"個人情報保護管理者(チーフ・プライバシー・オフィサー)"については、各事業所ではなく、各企業ごとに設置すると考えてよいですか。」との質問に対し、「各事業所ごとに責任者を設置してもよいですが、それらを統括する個人情報保護管理者(チーフ・プライバシー・オフィサー)は各企業ごとに設置するということを想定しています。(2005.1.14/7.28修正)」と回答している。
 すなわち、「事業所個人情報保護管理者」を事業所毎に任命し、それを統括する「個人情報保護管理者」を設置する形である。
 この場合に、各事業所の「事業所個人情報保護管理者」が日常の決裁を行なう訳であるが、"PMSの実施及び運用に責任及び権限が与えられている"のは「個人情報保護管理者」であることから、権限の委譲について明確にして、問題によっては「事業所個人情報保護管理者」から「個人情報保護管理者」へのエスカレーションルールや報告ルールを明確にしておくことが必要である。
 また、事業者の代表者(通常は社長)による承認については、"PMSの実施及び運用に関する責任及び権限"を「個人情報保護管理者」に与えていることを勘案し、"重要な事項や企業レベルでのPDCAを回す上における事項"と"日常のPMSの運用における事項"を峻別して、"事業者の代表者(通常は社長)"による承認が必要なレベルと"個人情報保護管理者"が承認を行なうレベルを明確に定義して、規定として定めるのが良い。
 JIS3.3.4の末尾に示された"個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、事業者の代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。"については、JIS3.9事業者の代表者による見直しのa)項にも結びついていることに留意すること。

e)緊急事態(個人情報が漏えい滅失又はき損した場合)への準備及び対応に関する規定
 "JIS 3.3.7緊急事態への準備"に規定された事項である。
 この中では、緊急事態として、"個人情報が漏えい滅失又はき損した場合"を捉え、何かが発生したときに、それをどのように把握し、判断し、その影響を最小限に抑えるための対応を講じ、事実の公表や届け出を行い、本人への補償や、ことによると告発や裁判への対応、更に、再発防止策を講じて、その有効性を確認するまでの一連の手順を規定化することである。
 緊急事態の対象となる事象(違反・事件・事故等)であるが、JISでは"個人情報が漏えい滅失又はき損した場合"としているが、経済産業省のガイドラインでは"事故又は違反への対処"となっており、対象とする事象に若干の差異がある。
 すなわち、JISでは災害等により"個人情報が滅失又はき損した場合"や"コンピュータシステムに侵入され個人情報を削除又はき損された場合"も含めて考える必要があることになるが、例えば、バックアップが維持されていれば本人に影響を及ぼすことは無いと考えられるような事象については後述するように、常識的に考えて行けば良いであろう。
 一般的に「緊急事態への準備及び対応に関する規定」にどのようなことを盛り込むか、すなわち、緊急事態にどのように対処したら良いかについては、多くの論文や資料が公開されている。
 経済産業省のガイドラインやIPA(独立行政法人 情報処理推進機構)が発行している「情報漏えい発生時の対応ポイント集」等を参考にすると良い。

 ここで、すこし原点に返り、PMSの運用上で発生する"ミス・違反・事件・事故"等の言葉で示される事象について考えてみよう。そして、それらのどのレベルから「緊急事態への準備及び対応に関する規定」の対象とするかを考える。
 "ミス・違反・事件・事故"等の言葉で示される事象が発生した場合、PMSにおいては、「緊急事態への準備及び対応に関する規定」または「是正処置規定」の何れかにより、漏れなく対応される必要がある。
 まず、大きな事件・事故を考えるときに、よく引き合いに出して示されるものに、「ハインリッヒの法則」がある。
 これはアメリカの技師ハインリッヒが発見した法則で、労働災害の事例の統計を分析した結果、「1件の重大災害(死亡・重傷)が発生する背景には、29件の軽傷事故と300件のヒヤリハットがある。」とされるものである。
 数値的には合うか否かは分からないが、個人情報においても、大きな漏えい事故の裏には、小さな漏えいや紛失事故があり、その裏には事故には至らない多くのルール違反やミスがあると考えることができる。
 また、インシデントとアクシデントという言葉で発生した問題の程度を分ける場合もある。
 インシデントは「"個人情報の漏えい滅失又はき損等の重大な事故へ結びつく可能性があった"と判断される出来事が発生した場合」が一般的な定義であり、アクシデントは実際の被害に結びつく事象が発生した場合の言葉である。

 しかし、個人情報の場合、何か問題が発生した場合、それがインシデントで終わるかアクシデントになるのかの判断がつかない場合が多いことが特徴である。
 例えば、個人情報の入った書類を電車の網棚に置き忘れたとしよう。
 その場合に考えられる最終結果として、"①終点で忘れ物として駅員に取得されており、終点駅へ行くことで回収ができるケース、②誰かに持ち去られたが、その人間にとっては価値がないと分かり、道端に捨てられたものを拾って交番に届けてくれたので回収できるようなケース、③誰かに持ち去られ、その個人情報が悪用されるケース、(その他にも沢山の可能性がある)"を考えてみよう。
 当事者にとっては、①の場合は、自分の裁量の範囲内で解決できるので報告はしたくないかもしれないが、③のケースのように悪用され、アクシデントに結びつく可能性があれば、迅速にきちっと報告を上げさせ、最悪の場合を想定した対応を行なうべきであろう。
 また、ノートPCの盗難に遭った場合も、ハード狙いだった場合は個人情報の悪用に結びつかない場合も考えられるが、きちっとした緊急時の対応を行なうべきである。
 このように、個人情報を含む文書を紛失したが、それが悪用されたか否か、また悪用される可能性があるのか否かも含めて判定できない状況も考えられる。
 従って、「緊急事態への準備及び対応に関する規定」の対象とする事案を単純にアクシデントや重大漏えい事故が顕在化した場合のように区切ることは出来ないし、また全てのミス(結果としてヒヤリハットで収束する、または収束したもの)までを含めるのも現実的でない。
 本人への影響の有無や影響の可能性の有無、また社会的な影響度(被害者が出る・出ないに関わらず)等を勘案しながら、「緊急事態への準備及び対応に関する規定」による処理を行なうのか、「是正処置規定」(m)是正処置及び予防処置に関する規定)による是正処置を実施するのかを決めてゆくことになる。
 この際、経済産業省のガイドラインでは、「速やかに回収した場合」を含め、幾つかの事例を示し、公表の必要性の有無について述べており、それらも主務大臣又は認定個人情報保護団体への報告対象としていることにも留意すべきである。

 「緊急事態への準備及び対応に関する規定」による処理においても、緊急事態の発生原因を特定し、再発防止策を立案し、それを実施して、その再発防止策の有効性を確認するまでの手順は、後述する「m)是正処置及び予防処置に関する規定」により対応することで、両規定の関連付けを行なっても良い。
 また、個人情報の場合、実害の発生をどのように考えるのかも、頭の体操的に考えておくと良い。
 一般にはクレジットカードの不正利用や個人情報を利用した俺俺詐欺等があって始めて実害が発生するわけであるが、機微情報の漏えい等、人に知られたくない情報が漏えいし、人に知られたという段階で実害が発生したと考えられる状況もある。
 人に知られたくない情報を人に知られた時、人に知られたということで本人が恥ずかしい思いをしたり悩んだりすることはないか?
 人に知られたときに被害が発生するのか、それを知った人が吹聴(情報の拡散)を行なった時に被害が発生するのか?本人が"他人がその事実を知ったということを知った時"に被害が発生するのか?
 "知らなければ、無かったことと同じ"は成り立つのか?悩ましいところである。
 日常業務において、誤って廃棄してしまった時や、大地震等の災害時に発生する個人情報を含んだ文書の「滅失又はき損」はどう考えるべきであろうか。
 個人に対するサービスを継続的に受けることも個人(本人)の権利の一部であると考えられており、個人に対するサービスの継続ができなくなるような「滅失又はき損」についても、緊急事態の一部と考えられる。しかし、バックアップが維持されていれば、問題は顕在化しない筈である。

 さて、話を元に戻して、上記のような諸々の条件を考慮しながら、緊急事態が発生した場合の手順を規定として定めるわけであるが、規定においては、まず、担当者がある事象に遭遇した場合、それをどのように判断して、報告を行なうかを規定する必要がある。
 所謂エスカレーションの基準であるが、発見者や当事者の勝手な判断で、情報が上がって来ず、適確な手が打たれなかったために被害を拡大するようなことになってはならない。
 また、個人情報の性格として、紛失や盗難の場合、紛失や盗難イコール即個人情報の不正利用とならない場合が多いことがあり、希望的観測から判断が甘くなってはならない。
 緊急事態の処理に当たっては、対象となる個人情報が"自ら取得したもの"か、"業務の受託において提供(預託)を受けたもの"か、"他者から提供されたもの"か等によって対応の手順も内容も異なってくることにも留意する必要がある。
 個人情報の漏えい事故の場合は、本人への影響の有無、警察への届出の要否、主務大臣への届出の要否、認定個人情報保護団体への届出の要否、公表の要否、本人への影響が無いと思われる場合における本人への連絡をどうするか、等々の面から考え、規定を作成する必要がある。
 対応においては、個人情報保護管理者が経営者と相談しながら処置や対策を進めるケース、経営者も参加した事故対応委員会を設けて対処するケース等、色々考えられる。
先ず、行はなければならないことは、事実調査であろう。
 事実を調査し、影響範囲を特定することが必要であり、そのための手順を規定する。
 また前述のように、対象となる個人情報が"自ら取得したもの"か、"業務の受託において提供(預託)を受けたもの"か、"他者から提供されたもの"か等や、本人への影響の可能性の有無、警察への届出の要否、主務大臣への届出の要否、認定個人情報保護団体への届出の要否、公表の要否、本人への影響が無いと思われる場合でも本人への連絡をどうするか、等々幾つかのケースを想定して、それぞれの実施手順を決めて置く。
 特に個人情報の漏えい等が発生した場合、実害が発生する前にしかるべき手を打ち、実害に結びつかないようにすることが重要である。
 個人情報の流出等があった場合、流出した個人情報を使った、「振り込め詐欺」や「クレジットカードの不正利用」等々の事件が実際に発生している。
 これら、本人が被る2次被害の発生を事前に防ぐには、個人情報の流出等が発生した場合、迅速に本人に連絡をとり、「振り込め詐欺」に注意してもらう、クレジットカードを使用停止する手続をとって貰う、等々の処置をとる必要がある。

 このように、一番重視すべきことは、情報主体である本人に被害が及ぶことをどのように防止するかが重要であるが、実際の事故が起こった場合、警察より犯人を逮捕するために公表を控えることを要請されることもあると聞いている。
 事故の内容によっては、先ず警察への届出を行い、相談をしながら、公表や本人への連絡等の措置を行ってゆくことも必要である。
 どのような場合に公表を行なうべきであるかも含め、経済産業省のガイドライン(平成19年3月版)の26頁、27頁に「事故又は違反への対処」として詳述しているので、「緊急事態への準備及び対応に関する規定」を作成する上においては、それを参照し、貴社の規定として、所謂5W1Hを明確にして、手順を規定するのが良い。
 経済産業省のガイドラインには明示されていないが、プライバシーマークの取得事業者についてはJIPDECへの報告も必要になる。
 また、公表としては、マスコミへの対応も重要な事項となる。
 事故への対応の良し悪しは、貴社の世間の評判に大きく影響するので、事前にその手順を検討して、規定に定めておくべきである。
 これらの処置と平行して、原因の究明や再発防止策の検討・実施を進める必要がある。
 また、被害者(本人)との間の補償についても決めなければならない。貴社が一方的に補償を決められる場合と、被害者との話し合いを通して決めてゆくことが必要な場合もある。
 被害者から裁判に訴えられる可能性もあることを考えておく。
 原因の究明や再発防止策の検討・実施においては、後述する「是正処置及び予防処置に関する規定」により、適確な再発防止を図ることが必要である。
 また、いざと言う時に、適確な対応をスムースに実施するためには、詳細の手順を作成しておくだけでなく、万一の場合に備えたシミュレーション訓練も考慮に値する。

 前述したように、ヒヤリハットで留まったルール違反や事故に結びつかないミスについては、所謂PMSにおける"不適合"として、後述する「是正処置及び予防処置に関する規定」により、適確な再発防止を図ることが必要である。
 日常業務において発生した"ヒヤリハット"事象に対し、それをどのように認識して処理してゆくかは捉え方の問題で、何を是正・予防の対象としてゆくか、どのレベルからを対象とするかはどうしても人により判断が異なるので、できるだけ従業者の判断基準が一致するように規定することが望ましい。
 それらについては後述する「m)是正処置及び予防処置に関する規定」で述べたいと思う。

           (中小企業診断士 中村 隆昭)
 
< 前へ   次へ >

支援企業・団体

連載/コラム

広告主募集

 
ホーム  |  スタッフ募集
Copyright 2004-2007 横浜産業新聞 - 横浜における情報産業の情報発信「ハマビズ」 - All rights reserved.
横浜産業新聞に掲載の記事・写真・図表などの無断転載を禁止します。
著作権は横浜産業新聞またはその情報提供者に属します。