社内の個人情報保護体制について | 企業の個人情報保護法への取組と事例:2018年版(7)

社内の個人情報保護体制について | 企業の個人情報保護法への取組と事例:2018年版(7)

イントロダクション

「個人情報取扱事業者の安全管理措置について」にある”やるべきこと”を実運用にのせるための手順として、前回は個人情報の管理手順として個人情報管理台帳の手順と棚卸しについてお話ししてきました。

今回は「組織体制の整備」についてお話していきたいと思います。
法令で決まっている義務とはいえ、企業が管理する情報は社員一人一人の注意だけでは守り切ることはできません。
組織としての対応を行うには、誰がどのような役割を果たすかを取り決める必要があります。
具体的に必要となる役割を個人情報保護法第3条、第4条や実際の個人情報保護体制の例、個人情報保護士の試験等から推奨される体制を紹介していきたいと思います。

スポンサーリンク

個人情報保護体制について

整備すべき体制

責任者を置く-個人情報保護管理者(CPO)-

とりあえず絶対必要なのは責任者です。
全社の個人情報保護に対して責任を負う立場の人になります。
全社へ号令をかける必要がある場合があるので、指揮命令権のある役員レベルが望ましいとされています。
全社施策なので当然と言えば当然ですが、最悪の自体が発生した場合対外的な責任者として出てくる人になるので中途半端な役職の人やましてや平社員を任命するわけにもいきません。
名前だけの責任者ではなく、全社の個人情報保護施策を理解し号令を掛けられる人である必要があります。
ちなみにCPOはChief Privacy Officerの略称です。

部門横断的な管理体制-個人情報保護管理委員会-

組織の大きさにもよるかもしれませんが、役員の号令の次には部門間の調整が必要になります。
基本的には部門の責任者、部長レベルくらいによる連絡会のような会議体が必要になります。

部門単位での体制-個人情報管理責任者、作業責任者、運用責任者-

上で決まったことを実働として動く部門内の体制におろしていきます。
結果的に課長、係長レベルになるかもしれませんが、指揮命令権の明確化のためにポストを決めておく必要があります。

実務を行う-個人情報保護事務局-

偉い人ばっかり集まっても実運用の調整など細かいところを行う事務局が無いとただの理想論になってしまいかねません。
恐らく制度と社内調整に一番精通している部門が担当することになるでしょう。
全社施策の号令ということで総務ラインが適切かもしれませんが、後述するように情シスが役割を担う可能性が高くなります。

対外的な窓口-個人情報保護相談窓口-

個人情報保護法においては後述の「苦情の処理」を個人情報取扱事業者の努力義務としており、受付窓口を設けることが望ましいとされます。
右から左に流すだけの窓口ではあまり意味がありませんので、ある程度内容を理解して対応できることと、当該情報を管理する部門の把握が必要になります。

運用の監視者-個人情報保護監査責任者-

これらの体制が正しく機能し、前回の個人情報管理台帳の管理手順などの制度が正しく運用されているかを監査する組織になります。
基本的には個人情報保護管理責任者以外の人で、社外に責任をもつことができる立場の人であることが望ましいのですが、ある程度以上の規模の会社でないとこの要件を満たして且つ監査できる知識を有する人材の確保は難しいかもしれません。
役員レベルを責任者に立てて有識者同席での監査、もしくは外部監査を利用する等が適切かもしれません。

苦情の適切かつ迅速な処理

情報開示、訂正、利用停止に関する申し立てへの対応

前述の通り、個人情報保護法は苦情に対して適切かつ迅速な処理を個人情報取扱事業者の努力義務として課しています。
「苦情」とはいちゃもんのことだけではなく、情報開示請求、個人情報の利用停止などの要請を指します。
これらに適切かつ迅速に対応するには、誰が何をしなければいけないか決めておく必要があるのです。

対応ルートの確立

苦情受付は個人情報保護相談窓口からスタートします。
個人情報に関する苦情は一旦全て窓口で対応し、クロージングまでの経過をトレースしていきます。
窓口だけでは実際の処置が困難な場合、実際に要請のあった個人情報を保持している部門の個人情報管理責任者を通じて部門での対応を依頼することになります。
全社横断的な対応になる場合、個人情報保護事務局を司令塔に処置を行う流れになります。
こうして対応の段階を決めておくことで対応の混乱を生じさせず、苦情が放置されないよう顛末まで管理できるようになるのです。

スポンサーリンク

理想と現実のギャップと情シスの立ち回り

中小規模事業者の特例はあるが

とまあここまでは「あるべき形」の話で、ここからは主に中小企業の実態に則した話をしていきたいと思います。

第4回にて「個人情報取扱事業者の安全管理措置」には中小規模事業者の特例があり、組織的管理については管理者と担当者くらいに簡素化できる、という話をしました。
個人情報保護法の「中小規模事業者」は単純に中小企業を指すものではないので、言葉の定義については第3回「個人情報取扱事業者の定義と義務」を参照してください。

「管理する個人が5,000名を下回る」は一定の基準ですが、3,000名だったらセーフとかいう線引きばかりに拘っても仕方ないのではないかと思います。

重要なのは「指揮命令系統の明確化」であり、上記の全ての役割を置かないまでも責任者と対応ルートを決めておくことは必要と考えます。

位置付けは防災や安全衛生と同じ

こと個人情報保護となると本来業務の妨害扱いの認識を持たれていることが未だにある可能性はあります。
しかし例えば職場防災担当者や安全衛生責任者になると、「仕方ない」といったら語弊がありますが比較的素直に許容されます。

防災や安全衛生も、従業員の安全を守り、企業活動の維持継続を目的としたものです。
誤解を恐れずに言えば、明日地震が起こる確率と明日個人情報が漏えいする確率では、個人情報を保持しているのであれば後者のほうが高いと考えるのが自然ではないでしょうか。
そして個人情報漏えいによる企業への影響は第5回「個人情報漏えいの影響と原因」でお話ししたように、災害に匹敵する場合もあります。
その被害が震度1クラスなのか震度7クラスなのかは起こってみないとわかりませんが、それは地震も同じです。

そして個人情報漏えいは地震と違って発生自体を抑制することがある程度可能です。

防災担当も各所属の担当者が任命されますが、平時であれば年2回の防災訓練の時くらいしか出番はありません。
個人情報保護体制も位置付けとしては同じようなものであると考えてもらって、体制化を推進していく必要を説いていく努力が必要になります。

棚卸さなければ監査もできない

前回の「個人情報の管理について」で個人情報管理台帳と棚卸しについてお話ししましたが、個人情報監査をしようとしても保持している個人情報が何なのかわからなくては監査のしようもありません。

「個人情報は適切に管理されていますか?」「はい」

では監査になりません。
行われなければいけない管理手順は何か。
その手順に沿った管理が行われているか。
台帳から漏れている個人情報は無いか。
台帳は陳腐化していないか。

監査は台帳ありきで行われるべきでしょう。

何故「個人情報保護」は情シスの仕事なのか

前述で事務局は「情シスが役割を担う可能性が高く」なるという話をしました。
そもそも何故「個人情報保護」に情シスがここまで深く関与しなくてはいけないのでしょうか。

それは「個人情報は情報機器を通じて漏えいする可能性が非常に高い」からに他なりません。

これまでの話から、管理すべき個人情報はデータに限らず紙媒体も含まれるとは話しましたが、一度の漏えい件数で考えるとデータ形式のほうがわずかな労力で大量の情報を入手できます。
また紙媒体は正しくファイリング等が行われていれば誰が見ても存在を確認したり、キャビネットの鍵などの物理的なアクセス管理ができますが、データのアクセス管理や存在確認にはシステム的な技能が必要になります。
必要に応じてファイルやシステム、Webのアクセスログ、ネットワーク監視ログなどの調査が必要な場合もあります。

またデジタルな領域の脅威に関する知識も情シスが豊富(でなければいけない)です。
どのような状態に危険が潜んでいるか、どのような対策が必要であり、どのような製品が存在するか、どのように運用すればいいかなどは、他のシステム選定と運用と同様に情シスの担当分野になります。

個人情報保護はトータルセキュリティの延長であると同時に、非常に大きな一分野です。
この分野に精通し、個人情報保護士の資格取得やプライバシーマーク取得に携わるような経験ができれば、それ自体大きな市場価値になります。
自身のキャリア形成の選択の一つとしてこの分野に取り組む、と考えると、少し前向きに取り組めるのではないでしょうか。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事