|
2007/11/11 日曜日 17:23:38 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第13回)
~内部規定の作成(第10回~
g)個人情報の適正管理に関する規定
"JIS 3.4.3適正管理"に規定された事項である。
この中には、3.4.3.1正確性の確保、3.4.3.2安全管理処置、3.4.3.3従業者の監督、3.4.3.4委託先の監督、の4つの項目が含まれている。
本来的には、これら"正確性の確保""安全管理処置""従業者の監督""委託先の監督"の全てが、リスク分析の結果から結びついて出てくるべきものであるが、実際にはリスク分析は主に"安全管理処置"の面から行われることが多く、その結果は3.4.3.2安全管理処置の要求事項に基づいた、規定として作成される。
これらの4つの手順を規定化した場合、そのボリュームがかなり大きくなると考えられ、手順書としては幾つかの規定に分けた方が良い。
また、"3.4.3.3従業者の監督"については上位規程の「個人情報保護基本規程」に含めて規定することで事足りるかもしれない。
① 3.4.3.1正確性の確保
個人情報を正確、かつ最新の状態で管理するための手順を規定する。
一般に収集した個人情報の内容を正確、かつ最新の状態とするための手順と、コンピュータへの入力等を行なう場合にミスをどのようにして避けるか等の手順も対象となる。
最新の状態とする上においては、本人からの個人情報の変更届があった場合におけるマスターファイルの改定の手順等も含まれる。
業種によっては、定期的に本人に登録情報の内容に変更が発生していないかの問い合わせを行い、変更がある場合は訂正情報の取得を行って手持ちの個人情報の修正を行っている所もあるが、貴社の業務の内容に応じて対応を決めれば良い。
コ ンピュータへの入力時のミスを予防し、正確性を期するための入力時のコンペア/ベリファイ等の手順については、例えば、「システム管理規定」の中に含めて定めても良い。
また、この項目では、"個人情報を正確かつ最新の状態で管理しなければならない"としており、保管管理や廃棄管理、バックアップの取得やその管理等についても含めて考える。
② 3.4.3.2安全管理処置
この項は、内容が非常に重要である割には、規格が示しているのは2行だけである。
基本的には「事業者は、その取扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」とされているだけであり、要は"各企業がリスク分析を行い、その結果として必要、かつ、適切な措置を自分たちで決めて実施しなさい"ということである。
従って、第11回~第13回に示したリスク分析の手順に則ってリスク分析を行い、その結果として実施することが決定された安全管理策を、貴社において守るべきルールとして文書化してゆく。
文書化することで、全従業者(役員、社員、パート・アルバイトを含む)が同じ認識を持って日常の業務を実施して行くことができるし、新入社員が入社した場合も、貴社の規範として明確に示すことが出来る。
また改善を考える上においても、全従業者の認識が一致している状態で改善活動が進められるので、改善のベースが明確であり、不要な、議論のための議論が少なくなる。
さらに、規定として文書化することで、内部監査における監査の基準が明確になり、客観的な監査が実施できることにもなる。
手順の文書化においては、いわゆる手順書としての5W1Hに注意しながら制定する。
手順書としては、"守るべきルール"を集めた「ルール集」のような纏め方もあるが、「XX業務手順書」のように、業務ごとの手順書を作成し、業務の実施に伴って遵守すべき安全管理策をその中に盛り込んでゆくのも良い。
また、「情報システム管理規定」や「入退室管理規定」のような、対象毎の個別の規定に纏めるのも良い。
内容としては、手順書を読むことで、誰でもが適切な行動や対処ができるように、具体的に記述することが必要である。
また、暗黙のルールとなっているような、当たり前に実施していることもルールとして文書化することが必要である。
また、規定の他に、実施マニュアルとして、規定された事項のエキスだけを記載した、日常業務で使用する「マニュアル」を作成するのも良い方法である。
安全管理策の内容としては「組織的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」が含まれる。
尚、「人的安全管理措置」については、下記の「③ 3.4.3.3従業者の監督」並びに、「i)教育に関する規定」「o)内部規定の違反に関する罰則の規定」等の中に含めて定めるのが良い。
「組織的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」については、リスク分析の結果を基に、「経済産 業省のガイドライン(24~35頁)」等を参考に、規定を定めると良い。
また、「JIS Q 27001(ISMS) 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」、「JIS Q 27002:2006詳解 情報セキュリティマネジメントシステム-要求事項」も参考とする。
クレジットカード情報を含む個人情報を取扱う場合は、「経済産業省のガイドライン(61,62頁」を参照して、遵守すべき取扱いのルールを規定する必要がある。
貴社において、安全管理策として一般的に規定に盛り込んだ方が良い項目が「個人情報保護マネジメントシステム実施のためのガイドライン」に示されているので参照すると良い。
以下に、安全管理策を文書化してゆく上において、どのように纏めてゆくのが良いか、考え方を示す。
「組織的安全管理措置」
主に、リスク分析の結果として、実施が決定された安全管理策を"日常の業務の運営において守るべきルール"として文書化する部分である。
組織的安全管理措置を定める手順書としては、"守るべきルール"を集めた「ルール集」や「XX規定」のような纏め方もあるが、「○○業務手順書」のように、業務ごとの手順書を作成し、業務の実施に伴って遵守すべき安全管理策をその中に盛り込んでゆく方法もある。
業務の実施手順と個人情報のフローを関連付けて、個人情報の取扱いが行なわれるそれぞれの局面において安全管理を図るために、何時、誰が、何処で、どの個人情報を、どのような取扱い方法で取扱うか等、5W1Hを意識して規定する。
一般的な取扱いの流としては、①取得・入力、②移送・送信、③利用・加工、④保管・バックアップ、⑤消去・廃棄、がある。
「物理的安全管理措置」
このカテゴリーには、①入退館(室)管理、②盗難防止、③機器・装置等の物理的な保護が含まれる。
このカテゴリーは個人情報のフロー(ライフサイクル)に基づいたリスク分析の結果による事項だけでなく、ベースラインアプローチに基づいた安全管理策を規定すると良い。
"入退館(室)管理"、"盗難防止"、"機器・装置等の物理的な保護"に対してはどのような安全管理策を実施すべきかは多くの文献や教科書に示されている。
それらを参考に、貴社の建屋や事務室の構造、また業務内容等に応じて、安全管理策を策定する。
纏め方としては、「入退室管理規定」や「保管管理規定」、「盗難防止規定」のようなものに纏めても良い。
「技術的安全管理措置」
このカテゴリーは、情報システム/ネットワークの管理に関する事項が中心となる。
識別と認証、アクセス制御、アクセス記録、監視、ネットワークのセキュリティの確保、等々がある。
このカテゴリーも個人情報のフロー(ライフサイクル)に基づいたリスク分析の結果による事項だけでなく、世の中で常識的に実施が当然とされている安全管理策も含めて規定すると良い。
情報システム/ネットワークに関してはどのような安全管理策を実施すべきかは多くの文献や教科書に示されている。
「JIS Q 27001(ISMS) 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」、「JIS Q 27002:2006詳解 情報セキュリティマネジメントシステム-要求事項」やIPA(独立行政法人 情報処理推進機構)が発行する各種の資料等も参考にして、ユーザーが守るべき事項、管理者が実施すべき事項、設備としての情報システムが備えるべき事項、等々を具体的に規定する。
纏め方としては、上記の、"機器・装置等の物理的な保護"の内の、情報システム(サーバーやパソコン等)に対する物理的な保護に関する事項も含め、情報システム/ネットワークに関する安全管理策の全てを纏めて「情報システム管理規定」のようなものに纏めても良い。
情報システム/ネットワークの管理に関連して特記しておきたいのは、アクセス記録やそのチェックについてである。
アクセス記録を取得する場合は、どのような不正行為を発見するために、どのようなログ項目を取得し、どのような頻度でそれをチェックし、記録をどの程度の期間保管しておくのかを十分に検討する必要がある。
世の中で発生した大きな個人情報の漏えい事故では、そのデータへのアクセス権限を有する者が媒体にコピーして持ち出している例が多い。
しかも、それが発見されるのは、漏えいしてから数年後ということが多い。
個人情報を持ち出した後で、時間を置くことにより、盗難時点の状況をトレースできないようにする意図も考えられる。
事故が顕在化した場合、数年前の状況であっても、その時の状況がトレースできないと、事故に対するだけでなく、その時の状況が説明できないという事に対しても世間から非難を受けることになることも考えておくことが必要である。
③ 3.4.3.3従業者の監督
本項は、日常においては、メールのモニタリング等による従業者の監督も含まれるが、主に"o)内部規定の違反に関する罰則の規定"と関連付けて考える。
労働基準法第2条には、「労働者及び使用者は、労働協約、就業規則及び労働契約を遵守し、誠実に各々その義務を履 行しなければならない。」と示されている。
労働協約、就業規則、労働契約等を利用し、入社後の在籍時と退職後の一定期間を含めて「非開示(秘密保持)」を担保してゆくことが必要である。
従来、就業規則等では会社の機密情報に対する「非開示契約(秘密保持)」の条項は盛り込まれていることが多いが、「個人情報」も含まれるように規定されているか否かを確認する必要がある。
従業者の監督としては、モニタリングや罰則だけでなく、モラール、モチベーション、貢献意欲、ローヤリティー、愛社精神、 倫理感、等々の言葉に示されるような事項を涵養し、事故や違反を起すことがないようにして行くことも重要であり、ES(Employee's Satisfaction:従業員満足)にも留意する必要がある。
次回は「委託先の監督」について述べる。
(中小企業診断士 中村 隆昭)
|
