2017年7月31日月曜日

「改正個人情報保護法対応レッスン」 (6)安全管理措置

◆最低限対応すべき安全管理措置◆

「改正個人情報保護法対応レッスン」、
今回で最後となりました。

もちろん、もっといろいろ知っていくべきことは
ありますが、企業の規模に関わらず、
どの企業も現実的に最低限対応すべきことを
できる限り絞りました中での最後の1点です。

それは、安全管理措置です。
ちょっと堅苦しい言葉のようですが、
要は、ちゃんと管理しましょう、ということです。

対応としては、組織的、人的、技術的、物理的、の
4つ視点から安全管理措置をとりなさいということ
なのですが、組織的、人的に関しては、ここまでで
書いてきました。

残るは、技術的、物理的、ですが、
物理的というのは、
オフィスへの入室チェックや、PCなどの持ち出しなど、
まさに物理的な対策です。

これらは、情報が漏洩しないようにするための
目に見える対応なので、わりとわかりやすく、
対応もしやすいのではないかと思います。

◆中小企業でも対応すべき技術的安全管理措置◆

それに対し、技術的安全管理措置、
これは、ちょっと大変です。

いわゆる情報セキュリティと呼ばれるものが
それだと考えていただいてよいです。

技術的にとても明るい社員がいれば、
その対応や最新情報の入手など、
責任をしっかりもってもらって任せれば
よいかも知れませんが、
なかなかそうもいかないかと思います。

でも、ITはよくわからない、と
言っている場合ではありません。

まず第一にもっておかなければならない
考え方として、「うちの会社は大丈夫」
思わないことです。

自社が持っている情報は漏洩しても
たいしたものはないので大丈夫、とか、
有名な会社ではないので、狙われることはない。

経営者の方からそんな声をお聞きすることが
よくあります。

確かに、そんなに重要と思われるような情報は
お持ちでなかったり、
知名度がそれほど高くなかったり、
一部の人だけ知る会社だったりすることが
よくあります。

そんな皆さんにもさらに
「念のために」ということではないのです。

◆あなたの会社が加害者になる◆

まず、最近の攻撃は、
皆さんの会社が被害者になるだけでなく
加害者にさせてしまうものもあるということです。

ある有名な会社に同時に多数のサイトから
攻撃をするという手口がありますが、
それは、多数の悪い人たちが集まってやっている
わけではないのです。
悪さをするプログラムを、一般企業のPCに
忍び込ませ、特定の有名な企業の攻撃をさせる
というものもあるのです。

自社には何の直接被害はないかも知れませんが、
有名な企業を攻撃してしまうのです。
どこの会社が攻撃したかということがわかる
ことも多いですから、
犯罪者にさせられることがあるのです。
共犯です。
こういうのを「踏み台」と言います。
自社が踏み台にならないようにしないと
いけません。

さらに、
特定の会社を狙った攻撃を
「標的型攻撃」と呼びますが、
その標的は、「有名な会社」である場合もありますが
「セキュリティが甘い会社」の場合もあります。

今、セキュリティの甘さをついて、
事業に利用しているファイルすべてを圧縮し、
それにパスワードをつけ、そのパスワードを
知りたければお金を払え、という攻撃が蔓延しています。
「ランサムウェア」身代金攻撃というものです。
これは、事業の大小にかからわず、仕事上で利用する
すべてのファイルがアクセスできなくなってしまうので
その瞬間からPCを使った仕事が全くできなくなります。

さらに最近は、大きな問題があります。
一昔前は、これらの悪意のあるプログラムは、
あやしいメールを開いたり、アプリをインストール
したり、Webサイトを開いたりしたときに、
忍び込んでくるというものでした。

しかし、最近の脅威は、何もしなくても、
PCをインターネットに接続しているだけで
侵入してきます
しかもその行為はほとんど見抜けません。

要は、知らない間に被害者になったり、
加害者になったりしてしまうということです。

これでは対処もできないということになりますが、
現状の可能な対応は、
OSやアプリを最新の状況に保つということです。

何もしなくてもネットワークにつながれたPCに
侵入されるのは、いわゆる脆弱性があるから
なのです。脆弱性がある、あるいは既知の脆弱性
の対応をしていないPCを見つけることは容易です。

それを探して、悪さをするプログラムを入れ込む
わけです。これは、会社の規模や事業の内容とは
全く関係ありません

となると、
その脆弱性をなくす対応をしておく必要性
よくわかりますよね。

アップデートサービスが終了したOSをネットワーク
につないで使い続けたり、更新プログラムが
でているのに適用しないと、これらのターゲットに
なってしまうということです。


もちろんそれをしていれば万全ということでは
ありませんが、最低限、それらを意識し、対応を
しておくことが求められているわけです。

こういったことも、全社員で共有し、
意識を高く持ちましょう、ということがとても
重要となります。



さて、ここまでご覧いただきましてありがとう
ござました。
正しい知識をもち、自ら高い意識で、全社で
取り組んでいく意識と最低限の対応をせねばと
思い、実際、少しずつでも対応を始めていただ
ければ、これを書いてきました価値を感じます。

ぜひ、心技体を鍛えて、お客様の信頼に応えて
くださいませ。


2017年7月28日金曜日

「改正個人情報保護法対応レッスン」 (5) 漏洩時の対応

◆個人情報の漏洩が発覚した際の対応◆

これから、個人情報保護に関してしっかり対応していこう
というところですが、そんな途中にも、情報漏洩をしてしまう
可能性は否めません。

その原因は、ミスや故意、あるいは外部からの攻撃など、
さまざまですが、どれでも自社でも可能性はある
想定しておいた方がよいですね。

個人情報保護の目的は、
お客様の信頼に応える、顧客の信頼を維持するため
であることを何度も書いてきました。

漏洩時にも、まずはここに立ち返ることが大事です。

対応が遅れたり、発表が遅れたり、
それが「何とかごまかそう」としてなら論外ですが、
「慎重を期して」という場合もあると思います。
そんな場合も、顧客は何を期待しているか
ということを基本に、対応内容やその優先順位を
考えると、おのずと見えてくるものです。

これまで、実際、漏洩してしまったことより、
そのあとの対応についてバッシングを受けた企業も
少なくありません。

漏洩してしまった時の対応は、
どんな対応をすべきかという知識と、
落ち着いてしっかり対応できるよう、
シミュレーションや訓練をしておくことが好ましいです。

対応すべき内容については、
個人情報保護委員会から、
「漏洩等が発覚した場合の対応」が、6項目で示されています。

『漏洩等が発覚した場合の対応』
として、以前にこのブログに書いていますので、
ご参照ください。
https://kojinjohohogoho.blogspot.jp/2017/06/blog-post_22.html

これらとともに、
全社員に、漏洩の疑いがあるときにすぐに報告してもらう体制
皆で対応するという姿勢など、
全社一丸となって真摯に対応することがとても大事なことですね。




2017年7月27日木曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習6

◆全社で知っておくべき内容を共有する◆

昨日、最低限これだけは知っておくべきという内容をあげました。

これらは、経営トップや経営陣の全員が知っておくべき内容ですが、
では、社員はどうでしょうか?

実は同じです。

もちろんまずは、
「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習4
で書きましたとおり、
・個人情報って何?
・そもそも個人情報保護って何のため?
を浸透させることが先です。

そして、より具体的な内容として、
「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習5
で記載した内容の概要か、
自社特有の社内規程や業務マニュアルができていれば、
その内容の要点を伝えることになります。

これらは、少人数であれば、勉強会など顔をあわせて実施することが理想です。
この方が、結局、効率的になります。

eラーニングを利用することも考えられますが、
ここで一般的なコンテンツを、延々見せるのは効果的ではありません。
自社ならではの内容を、15~20分以内で学んでもらうことが効果をあげます。
きれいなものより、手作りあふれたものの方が結果的によい場合も多いです。

◆全社でマインドを共有する◆

いずれにしても、
まずは、経営陣が本気で取り組んでいることを全社内に浸透させ、上から目線ではなく、一緒に取り組んでいこうという姿勢を見せることが、とても大事です。

これらは、正社員だけでなく、パートやアルバイト、さらに派遣社員やパートナー、そして、委託先、取引先など、事業に関係するすべての人とマインド共有をする意識がとても大事です。


2017年7月26日水曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習5

◆個人情報保護に関し、中小企業が対応すべきこと◆


「個人情報保護規程」の策定にともなって、実際の現場で、どのような対応をしないといけないか、それらを学んでおきましょう。
ここについては、あちこちで情報があふれていますが、どれも情報過多で、ポイントが見えにくいかと思います。

そこで、中小規模の企業だと、まぁこれくらいは知っておきましょうということに限定して書きます。


1.個人情報の利用目的の特定、取得の制限等

・利用目的を決めておく

個人情報を、
本人に入力してもらったり、書いてもらったりして直接取得する場合も、
ネットで公開されていたり、名簿を購入したりして間接的に入手する場合も、
ともに、その利用目的を決めておかなければなりません

後に追加や変更することもできますが、その際は指定された手続きが必要となるので、あらかじめできる限り決めておいた方がよいのです。

・利用目的を示す

直接的に取得する場合は、その際にその利用目的を示してください。
そして、できる限り同意を得ておいた方が好ましいでしょう。
同意はたとえばチェックボックスを作っておくなどしておくことで対応できます。
これは法律上では義務ではありませんが、後でもめないようにするためにそうしておくに越したことはないということです。

間接的に取得した場合は、利用目的を本人に通知するか、Webサイトで公表しておきます。

示した利用目的がウソであったり、あとで勝手に変えることは、顧客の信用を失いますから、してはいけないことは明らかですよね。

変更する場合、
その本人が想定内となりそうな内容なら、連絡するか公表すればOKです。
いやいや、そんなことに使われるとは、と想定外となりそうな変更の場合は、あらためて、同意を取り直してください。

2.要配慮個人情報の対応

今回の改正で、思想、信条、人種、社会的身分、犯罪歴、病歴等の不当な差別や偏見の原因になりうる個人情報を要配慮個人情報として新しく定義されました。
機微情報やセンシティブ情報とも呼ばれるものです。

これらは直接取り扱う企業は少なくようにも思いますが、健康診断結果も含まれますので、社員の個人情報の取り扱い時にはどの企業もあてはまりそうですので注意が必要です。

どのような注意をするかというと、
同意なく取得してはいけない、ということと、
事前同意なく第三者提供してはいけないということです。
委託はOKですが、厳格な管理が必要です。

3.安全管理措置(組織的、人的、技術的、物理的)

漏洩等をしないように、しっかりと対策をとっておくことも求められています。
漏洩時の報告ラインなど組織的な対応、全社員への教育啓蒙、そして、外部からの不正アクセスや人為的ミスをカバーする技術的な対策、さらに、情報の保管場所やPC上のアクセス権管理など、しっかりと対策をとっておくことが必要です。
対策は万全とはなかなかいきませんが、ズサンな管理では顧客の信頼を失ってしまいます

4.第三者提供、記録簿等

自社が入手した個人情報をむやみに誰かに渡してしまうのはご法度なのは簡単に理解できると思います。でも、禁止ではありません。人の紹介など、もらった名刺を見せたり、コピーを渡すとかもよくあると思います。社外に人にだと、それらも第三者にあたる人への提供にあたりますが、そんなことまで法律で規制されているわけではありません。
自社が持っている名簿をごっそり他社に渡したり、名簿屋に売ったりする際には、さまざまな義務が発生します。そういうことをしようと思った際は、その前にしっかり勉強しなおしてください。

5.保有個人データの対応

営業マーケティング等に利用するために保有している個人情報について、本人から、自分の情報がどうなっているのかという問い合わせに対応しなければなりません。これも義務としてではなく、真摯な態度で快く対応しましょう。
修正してくれとか削除してくれという依頼については、これは法律がどうのこうのではなく、ふつうに企業として対応しますよね。原則それでOKです。
変なクレーマーには対応しなくてもよいです。

6.苦情対応

苦情に対しても、法律がどうのということに関係なく、また個人情報に関することでなくても、きちんと対応することが企業価値を高めますよね。基本それでOKです。


7.組織体制

社内規程や現場の業務マニュアルなどは、一度作ったら終わりではなく、きちんと運用し、定期的にそれらがうまく機能しているかを確認することが必要です。
そして必要に応じて変更、改訂を行いましょう。
「責任者」も名前だけでなく、しっかり自負し、定期的に自分が責任者である意識をリマインドすることが好ましいですね。


あと個人情報をベースにした統計情報を入手したり、他社に提供したりすることがあれば、「匿名加工情報」に関して学んでおく必要があります。


まぁこんなところかなと思います。
これくらいなら、しっかり覚えておけそうですよね。
はい、ぜひ覚えておいてください。

2017年7月25日火曜日

「改正個人情報保護法対応レッスン」 (4) 個人情報取扱規程の策定

◆個人情報保護規程を作る!◆


さて、いよいよ実作業に入ります。
規程類を作成していくことになりますが、
ここは、経営者や経営陣自身が
実作業を行う必要はないでしょう。

しかし、規程類の体系を理解し、
担当者が作成したものをしっかり目を通すことは
必要です。

担当者がいない場合は、自身で作成するしかないですが、
「個人情報保護規程」については、
実はそんなに大変なことではないので、
がんばって作ってみてください。

◆個人情報取扱規程類の体系◆


個人情報取扱規程類は、
一旦作成した「個人情報保護方針」にもとづき
実際の行動基準となる「個人情報保護規程」
そして、
それらにもとづいた現実的な手順書や様式
などを用意します。

これらはトップダウンのピラミッド型の文書体系
となります。



この下位にあたる現実的な手順書や様式を作る
ところは、自社ならではの中身になるので、
ちょっと時間がかかって面倒かも知れません。

それに対し「個人情報保護規程」は、
ざっくり言うと、個人情報保護法の条文体系と
同じで、その深さ感というか、どこまで書くか
というものも、法律と同じレベル感でよいです。

具体的には、
個人情報保護方針とにらめっこしながら、
・目的、定義、理念等
・個人情報の利用目的の特定、取得の制限等
・要配慮個人情報の対応
・安全管理措置(組織的、人的、技術的、物理的)
・第三者提供、記録簿等
・保有個人データの対応
・苦情対応
・組織体制
あたりが含まれた形にすればよく、
匿名加工情報の取り扱いがある場合はそれも
加わる程度かと思います。

「個人情報保護規程」に関しては、
専門家に作成依頼することもよいですが、
個人情報保護規程の雛形サンプルを
インタネットで検索して、それをもとに
作成することでも、それほど変わらないと
思いますのでそれでもよいかと思います。
ただし、法改正前のものは情報不足になる
可能性があるのでご注意ください。

業務マニュアルや、様式等がすでにある場合は
それらと整合性がとれているかを確認して
ください。

まだ作成されていない場合は、
こちらも雛形を入手して、それらをベースに
することもよいですが、
必ず、先に洗い出した自社の取り扱う個人情報や
自社の業務内容にあわせたものになるよう
しっかり修正をしてください。



2017年7月24日月曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習4

◆経営陣全員が個人情報保護の目的を理解すること◆


ここまで何度も、
「個人情報保護」の目的と、
「個人情報保護法の基本理念」が
大事であるとお伝えしてきました。

もうわかった、と思われるかと思いますが、
それらを経営者がまずしっかり理解し
そして経営陣全員が、同じレベルで理解している
状態にするところから対応が始まります。

これを読んでいただいている皆様は、
もうしっかり頭に入ったと思いますが、
経営陣すべてにぜひ伝達し、
しっかり理解してもらってください。

この
「改正個人情報保護法対応レッスン」
読んでもらうことがよいかも知れません。

企業によっては、勉強会を開くのもよいと
思います。
顔をあわせて、しっかり向き合うことで
いろんな好要素が生まれます。
細かい内容に踏み込む前に、これだけに
フォーカスして話し合うことにとても
意義があるのです。

実際、私も勉強会にオブザーブ参加させて
いただいたり、ファシリテーションしたり、
主催したり、いろんな形で関わらせていただ
いたりしますが、どれも皆、
ほんの1時間でも皆さん大きく意識が変わられます

本格的な対応を始めるのは、そこから
ということを確信しています。
そのあとの効率も、成果もまったく違うことを
体感しています。

◆社員や従業者全員が個人情報保護の目的を理解する◆


そして、企業の人数規模にもよりますが、
これらを全社員、全従業者にも伝達、共有する
ことが大事です。

細かい法律条文や社内規程を勉強させる前に
これらをしっかり浸透させておくと、
二度手間になってしまいますが、結果、本当に
成果のある、意義のある社員教育となります。

社員教育は、まずプレ教育として、
・個人情報って何?
・そもそも個人情報保護って何のため?
これらを浸透させてください。

そうすれば、多くの人に
もっと「具体的に知りたい」という欲が
でてきます。




2017年7月21日金曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習3

◆個人情報保護の本質的な目的◆


「個人情報保護」の目的と、
「個人情報保護法の基本理念」
個人情報保護への対応に際し、
とても大事であることを書きました。

そして、個人情報保護の目的は、
お客様の信用・信頼を維持すること、
と書きました。

これに対し、「そうそう」と思えるようで
あればOKです。

「ん?」と思った方は、そこから勉強です。

個人情報保護法は、2003年に初めて公布されました。
そのころから「個人情報保護」という概念と対応が
必要になってきたということです。

そして、2005年には全面施行され、多くの事業者が
対応をすることになりました。

基本的に、法に触れることはしてはいけない
という意識は誰しもあるものですが、
もともと、個人情報保護法は、事業者に対し、
法を定めたのでそれに抵触することをするな
という趣旨ではありません

今回の改正で、少しだけそのような内容が
付け加わりました。
でも、「要配慮個人情報」と定義されている
センシティブな情報の取り扱い方と、
名簿屋やそこから得た情報の取り扱い方くらいです。

それ以外は、基本的には、
「国が定めた縛りに事業者は従え」というものではなく、
国は、事業者に対し、「顧客の個人情報を適正に取扱い、
個人からの信頼のもと、事業をますます発展させなさい」
そのためには、「最低これだけのことを守りなさい」
と言っているのです。

極端な話、違法状態であっても、顧客からの信頼が保て、
顧客が喜ぶようであれば、特にとがめることはない、
と解釈できる条文もあります。

要は、個人情報保護法は、
事業者を取り締まるための法律ではなく
事業者に、このIT社会、ネットワーク社会において
その進展を国や社会の発展につなげるために、顧客との
信頼関係を保ちなさいと注意を呼びかけてくれている
法律なのです。

もちろん、悪徳業者は取り締まられることになります。
そのための罰則もあり、改正法では強化されました。
しかし、悪徳業者でない限り、そして顧客の信頼を
損なう行動でない限り、罰則は適用されません。

個人情報は、顧客から預かっているものです。
自分の情報を「このように使ってくれ」と事業者に
託してくれているものです。

その期待の応えつつ、自社の事業の発展に利用する。
これがあるべき姿です。

顧客の信頼に応えられるよう、
しっかりとした取扱い体制を作り、
すべての社員がその意識を持ち、
情報セキュリティ対策もしっかりする。

これらが、個人情報保護法で求められていることであり
そもそもの「個人情報保護」の目的なのです。

2017年7月20日木曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習2

◆そもそも何のための個人情報保護?◆


個人情報保護に関して対応していくにあたって、
まずは、会社の代表者か、少なくとも経営陣の
誰かが、個人情報保護についてしっかり理解
しておくべきということを昨日書きました。

社長をはじめ、すべての経営メンバーが
そうであるのが理想ですが、
まずは、先鋒隊だけでもよいです。

その内容は、
「個人情報保護」の目的と、
「個人情報保護法の基本理念」
しっかり理解すべしということです。

それらの理解ができれば、
どのような社内体制をとればよいか、
どんな社員教育をすればよいか、
そして、情報セキュリティ対策の重要性も
見えてくると思います。

個人情報保護の目的は、
お客様の信用・信頼を維持することです。

そして、
個人情報保護法の基本理念は、
個人情報は、個人の人格尊重の理念の下に
慎重に取り扱われるべきものであるので、
適正な取扱いを図れ
ということです。

これは、そもそも憲法で示されている内容から
きているものです。
それほど、基本的なことなのです。



2017年7月19日水曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習

◆規程類を策定する前に◆


さて、
規程類を整備していくことになりますが、
その前に、まずは会社の誰かが、
自社では、何をすべきで、どう策定すべきかを、
ちゃんと理解していないといけません。

多くの企業で、
外部に任せるか、結局何もしないか、
という状況に陥ってしまっていますが、
それは、社内の人で、
最低限の知識をもっている人がいない
ということが一番の課題でしょう。

要は、外部に任せるにも、
何をどう任せればよいのか、
あるいは何をアドバイスしてもらっているのか
それらを聞ける・わかる人が必要だということです。

これは、過不足のない「適正な対応」
するためにも必要なのです。

以前に対応させていただいた企業様の中には
「なんでここまでやるの?」と思えたり、
これは何のためにやっているの?という質問に
「自分たちではよくわからないけど、
 とりあえずやれと言われたから」
という返答をいただいたこともありました。

高いコンサルティング料を払って、
それではもったいないし、しかも成果につながらない。

やはり、聞く力、理解できる知識が必要ですね。

それらを備えた人が、社内にすでにいる場合は
基本OKですが、それでも、経営陣、できれば
代表者がそうであってほしいです。


◆代表者が知っておくべきこと◆


では、何を学べばいいのか?

そこに時間や労力がかかりすぎては、
意味がありませんね。

でも、個人情報保護法は難しそうだし。。
はい。で、そこで止まってしまうのですよね。

でも、解決法はとてもシンプルです。

「個人情報保護」の目的と、
「個人情報保護法の基本理念」を
しっかり理解することです。

それらを本質的に理解していれば、
コンサルタント等のアドバイスも理解でき、
そのアドバイスどおりの対応が自社に必要か
どうかも、わかるようになります。

2017年7月18日火曜日

「改正個人情報保護法対応レッスン」 (2) 個人情報の洗い出し

◆そもそも個人情報って何?の理解◆


さて、
個人情報保護方針が一旦作れたところで、
実作業に入りますが、まず行うことは、
自社で取り扱っている個人情報の洗い出しです。

でも、それを行う前に、
そもそも個人情報って何?ということを
正しく理解していないとせっかくの作業の
意味が薄れてしまいます。

個人情報は、
個人情報保護法第2条に書かれていて、
個人情報保護委員会のガイドラインに説明が
書かれていますが、
おそらくこれを何度読んでも、理解しにくい
でしょう。

なぜなら、「識別」なんていう
ふだんはあまり使うことのない単語が、
とても重要な意味をもっているからです。
そして、その識別の意味を、法律のプロですら
誤解していることがあり、
まして、個人情報保護について教えている講師
の多くが間違えているからです。

断言調で偉そうに言ってしまってますが、
本当に、ウソを教えるなよぉ、と思う講師が
あまりに多いことを残念に思うとともに、
それらの人の教えてもらって、結局誤解した
ままの人があまりに多いことに嘆きがでる
とともに、何とかせねばと考え、活動をして
いるところです。

◆結局、個人情報とは、こういうこと◆


ここは、法律条文や法の解釈がどうであれ、
自社の解釈として、
「誰の情報がわかる情報はすべて個人情報」
と考えてください。

テーブルがあって、それと突き合せれば
結局、誰の情報がわかるという情報も
個人情報です。

写真も、映像も、誰かわかるようであれば
個人情報です。


◆個人情報の洗い出しの際に重要なこと◆


そして、その上で、
それらの情報は、いつどのように取得したか
何に使っているかこのあと何に使う可能性が
あるか。ということもあわせて洗い出しを
することが重要です。
結構大変です。

本来なら、いつどのように取得したか
については、その際、どのような利用目的
取得すると、言っていたか、書いてあったか、
も、法律的には重要です。

これは重要であるにもかからわず、
現実的には、実質ムリという感じの企業が
多いのではと思います。

現実的な対応としては、
顧客が想定できる範囲で利用しているようで
あればまぁOKとして、
そうでない可能性が少しでもあれば、
同意を求め直すべしと考えることかが良いかと
思います。

これらの作業をしっかりすれば、
これから取得する際に、何をしておくとよいか
が見えてきますよね。

これらもできればプロのアドバイスをうけた方が
安心で、結局、効率的になると思います。
そのプロを選ぶことも大事ですけどね。

2017年7月14日金曜日

「改正個人情報保護法対応レッスン」 (1)個人情報保護方針の策定3

◆なぜ先にとりあえず個人情報保護方針なのか?◆


個人情報保護方針は、
規程類などを整備してから作成する
というのが一般的な手順のように
書かれていることが多いと思いますが、

実際、時間も余裕もない小規模事業者では
現実的には、それが高いハードルとなって、
結局、何もしないままになっている、
という現状を打破する策として、
この方法をお勧めし、推進しています。

個人情報保護方針だけでもとても重要で、
実はそこにすべてが含まれているのです。

◆個人情報保護方針策定の際の2つの重要なこと◆

そして、このあと進めて行く上で、
2点重要なことがありますので、
理解しておいてください。

●1つ目は、

この個人情報保護方針を、
コピペベースで作るにしても、
必ず、経営陣/取締役が参画し、
その人の責任で策定すということです。

現場の担当者が決め、
決済(ハンコ)だけもらうという形式
ではダメです。

そこに書いてあることについて、
せめて概要だけでもわかっている、
ということが重要です。

これを機会に、役員と一緒に勉強会を
実施することもよいでしょう。

そもそも、「方針」は、経営方針であり、
一般的にも取締役決済事項ですよね。

個人情報の取り扱いについて、
詳細はわからないにしても、
この方針については、
知らない、わからない、という状態では
③ 企業価値向上
顧客からの信頼なんて維持できるわけがない
ということです。

●2つ目は、

法律を守っていれば良いということではない
ということです。

昨日にも書きましたが、
まず、コンプライアンスというのは、
法律遵守ではなく、法令等の遵守です。

そして、そもそも個人情報保護法は、
事業者が対応すべき事項について、
すべてが明確に書かれているわけでは
ありません。

そこには「解釈」が入ってきます。
これはどの法律でもそうで、
今、憲法でもその議論がありますね。

その部分は、法律家や弁護士など、
法律のプロが行う部分ではありますが、
個人情報保護法に関しては、
個人情報保護委員会の解釈がその基準に
なります。
しかし、それでもすべてが網羅できて
いるわけではありません。

さらに、
これらの法律側の解釈だけでなく、
自社ではどうとらえるかという、
「自社における解釈」が重要となります。

違法でない範囲であければ、
自社での解釈が優先されるということです。

「解釈」については、
以前にこのブログで書いた内容もご参照ください。

『法律の「解釈」の注意点と重要性』
『注意点(2)2つの解釈を混同しない』



簡単に言えば、
個人情報保護に関し、
「国を向いて取り扱う」のではなく、
「顧客を向いて取り扱え」
ということです。

弁護士さんの法解釈がどうであれ、
自社の顧客の信用・信頼の維持・向上を
考えたときに、どう対応するか、
ということを優先して考えることです。

違法すれすれの対応ではダメなことは
明確ですよね。

ということになれば、
経営陣が対応すべきことであることも
理解できますよね。

法律条文や弁護士の解釈がどうだという
ことを理解してください、
ということではなく、
顧客からの信用・信頼や、企業価値向上
について、自ら積極的に考え、関与して
ください、ということです。

それなら、あたり前ですよね♪

2017年7月13日木曜日

「改正個人情報保護法対応レッスン」(1) 個人情報保護方針の策定2

◆とりあえずまず個人情報保護方針を作る意味◆


前回は、何よりもとりあえず、
「個人情報保護方針」を策定して
Webサイトに掲げましょう、
というお話をしました。

まずはそこに書いてある内容について、
自身が理解することが大事だからです。

他社のものを見てみると、
よく似ているものの、
結構いろんなパターンがあることにも
気づくと思います。

その中からしっくりくるものがあれば
それをもとに自社のものを作ることが
まずはよいでしょう。

その判断すらできない、あるいは、
どれもしっくりこないという皆さんは、
とりあえずこちらをご覧になってみてください。

http://expert-promo.com/privacy.html
(私が携わっている仕事の中で、
これは個人事業として実施しているものです)

さて、もととなるテンプレートができた上で、
これってそもそも何なのか?何のため?
という理解をしておきましょう。

これらは極論、Webサイトに出しておけばよい、
というものではありますが、
そこに、経営者の思いが入っているかどうかで、
そこから派生する違いが大きくなることも
あります。

この中に、思いを入れましょう
ということです。


◆個人情報保護方針に盛り込む思い◆

ではその思いは何かというと、

今、大きな企業では義務であり、
小さな企業でも、努力義務である
「コーポレート・ガバナンス」

売上を向上させることだけが主眼だった時代は
終わり、企業としての取り組み姿勢が問われる
時代となっています。

重要な「取り組み」は、以下の3点です。
① 法令等遵守
② リスク管理体制
③ 企業価値向上

それぞれ説明します。
① 法令等遵守
「コンプライアンス」と言われるものですが。
コンプライアンスは「法令遵守」と
訳されることが多いですが、正確には間違い
です。
法律だけを守っていればよいということではなく、
業界ルールや、一般常識的なモラルなども含まれます。

自社が決めた方針や社内規程についても、
しっかり遵守する姿勢があるかということも
含まれると考えるべきでしょう。

そして、
② リスク管理体制
ウィルスや標的型攻撃など無差別に広がる攻撃が
蔓延しており、今や他人事では済まされません。
自社の事業規模に応じて、
しっかり安全管理措置に取り組んでいる姿勢を
示めすことが大事です。

それらの上で
③ 企業価値向上
これはさまざまな要素がありますが、
少なくとも、顧客からの信頼
どの企業でも第一となるでしょう。
個人情報の取り扱い一つで、一瞬にして信頼を
無くしてしまうこともあり得ます。
逆に、一つひとつの積み重ねが顧客からの信用、
信頼を築いていけます。

「個人情報保護」の主な目的は顧客からの信用、
信頼を維持することです。

これらを個人情報保護方針で、
それらを示すのだと考えて作成してみましょう。

2017年7月12日水曜日

「改正個人情報保護法対応レッスン」(1) 個人情報保護方針の策定

◆個人情報保護方針を策定する◆


まず、
(1)個人情報保護方針を策定しましょう。



実はこの方針はとても大事です。
なのに、どこかからのコピペでそれでよし
としている事業者がたくさんおられます。

これは、対外的に自社の取り組みを示すもの
ですから、そこが安易に作ってあると、
顧客の信頼を損ないかねません

個人情報保護方針は自社の事業の内容
しっかり反映したものでないといけません。

であれば、
個人情報の洗い出しなどをしっかり行い、
個人情報保護関連の規程類を整備してから
でないといけないじゃないか、とお思いの
皆さんが多いと思います。

そのとおりです。
最終的に、Webサイト等で公表する内容は、
それらを反映したものでないといけません。

しかし、元来、「方針」は最後に出来上がる
ものではありません。
最初に決めるものです。

ではどうやって決めるのか?
まずは、コピペでもいいです。
一旦、作成してみることです。

もしすでに作成してあって、
Webサイトに掲載している場合は、
それをしっかり読んでみてください。

そこに書いてあることをちゃんと実践
しているか、
その内容で今でもことが足りているのか、
まずは、法改正をまだ意識せず、
現状の把握をすることです。

まだ、作成したことのない事業者さんは、
他社の掲示しているそれらなどを参考に
とりあえず作成してみてください。

一つの基準として、
プライバシーマーク認証基準である
JIS Q 15001や、
それらを参考に作成されていた
以前の経済産業分野のガイドラインでは、
以下のように示されています。

『事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し維持しなければならない。
a) 事業の内容および規模を考慮した適切な個人情報の取得,利用および提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないことおよびそのための措置を講じることを含む)。
b) 個人情報への不正アクセス,個人情報の漏洩,滅失またはき損の防止ならびに是正に関すること。
c) 苦情対応に関すること。
d) 個人情報の取扱いに関する法令,国が定める指針およびその他の規範を遵守すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名  』

最低限、これらが網羅されているかどうかを
意識しながら、見よう見まねでいいので、
作成してみてください。


(今、毎月社数限定で
「個人情報保護方針」無料簡易診断
というサービスをご提供しています。
おかげさまで、個人情報保護関連の
書籍の執筆も、先週に脱稿しましたので
今月の対応も開始いたします。
ただ、宣伝的なものは、土日に書かせて
いただくことにしますので、
次の土日まで、少々お待ちください。)

2017年7月11日火曜日

「改正個人情報保護法対応レッスン」学習内容

◆「改正個人情報保護法対応レッスン」目次 ◆

「改正個人情報保護法対応レッスン」
を、予定では今月いっぱいかけて、
以下の内容で書いていきます。

■目次■
(1)個人情報保護方針の策定
(2)個人情報の洗い出し
(3)対応のための事前学習
(4)個人情報取扱規程の策定
(5)漏洩時の対応
(6)安全管理措置

実際の対応について、
これらはどれも重要で、
重要度や優先度は、
すべて「高」です。

では、順番はというと、
同時が一番ですね^^;

でもさすがに一瞬で実施するのは
難しいですから、
あえて、流れのシナリオを考えると
上のような順番かなと思います。
一般的なものとは違うかと思いますが
いろんな現実的なことを勘案すると、
このようになります。

まずは、概要をお話します。

何よりもまず、
「個人情報保護方針」を策定しましょう。
多くの事業者さんは、Webサイトに掲載されて
いると思います。
そうだとしても、まずはそこからです。
まだ作成されていない皆さんはここからです。
なぜここからか、ということもお話します。

次に、
自社で取り扱っている「個人情報の洗い出し」
これで結構大変な作業となります。
しかも、そのためにまずは個人情報って何
ということも明確でないといけません。

そして、社内ルールを作ることになりますが、
その前に、責任者や担当者がちゃんと勉強
してからでないといけません。

さらに、何かあったときに対応も想定しておく
ことが必要です。これをしておくことによって
かなり現実感がでてきます。

あわせて、
日々、PCやネットワークを利用している事業者は
最低限の情報セキュリティの知識と最低限の対策
を施る必要があります。
やろうと思えばいくらでも深い世界ですが、
だから何もしないということではいけません。
最低限の対応と維持が必要です。

結局、ちょっと重たい感じがしてきますが、
でも、机上の理想ではなく、
現実的な視点で進めていきますので、
ぜひご対応されてください。


2017年7月10日月曜日

「改正個人情報保護法対応レッスン」

◆「改正個人情報保護法対応レッスン」をスタートします◆

すでに今年5月30日から
中小企業や小規模な店舗・ショップなども
対象となっている改正個人情報保護法

しっかり対応されている皆さんも
おられると思いますが、
「よくわからない」
「結局、何をすればよいの?」
という皆さんも多くおられると思います。

できるだけシンプルにお伝えしようと思い、
これだけは最低必要だなぁと思うものだけ
にそぎ落とそうとしましたが、
結局、これだけが残りました。



7月の平日はこのあと15日あります。
今月いっぱいかけて、
必要内容の掲示ではなく、
読んでいくと自然に、
学んでいただけるように書いていきたいと
思います。

ぜひご参考にされつつ、
しっかり学んでいただければと思います。

題して、
「改正個人情報保護法対応レッスン」
略して
「個情法対応レッスン」

ご期待いただければと思います。
よろしくお願いいたします。

2017年7月7日金曜日

責任者の作り方

中小規模事業者の個人情報保護対応として
まずは責任者を明確にするということを
書きました。
http://kojinjohohogoho.blogspot.jp/2017/07/blog-post_5.html

そして、誰が適任かというと、
「個人情報保護のことをよく理解している
 取締役」
であるとお伝えしました。
http://kojinjohohogoho.blogspot.jp/2017/07/blog-post_6.html

そんなのがいれば理想的だ、
ということかも知れませんが、
であれば、その理想を求めましょう♪

「個人情報保護のことをよく理解している」
と「取締役」
どっちが大事かというと、
両方です^^;

でも、一般社員が取締役には、
そう簡単には任命できません。
ということでは、
取締役が、
個人情報保護のことをよく理解する
しかないですね。

はい。
これをお読みいただいている皆さんが
取締役、つまり経営メンバーなら、
あなたが、責任者として立候補し、
個人情報保護のことをよく理解しましょう

もし経営メンバーでないなら、
あなたの属する組織の上司か、
あなたがが思う適任者を選び
個人情報保護のことをよく理解して
いただきましょう。

いずれにしても、
ここを読んでいただければ、
個人情報保護のことがよく理解できるように
なります。

それらの皆さんがよく理解できるように
書き進めて行きます。

あとで考える、ではなくて、
いま考えて、すぐに行動してくださいね。

2017年7月6日木曜日

個人情報保護責任者として最適なのは誰?

さて、小規模事業者においては、
まずは責任者を明確にしましょう
ということでしたが、

では責任者は誰?

そりゃ社長でしょう、
いやいや管理部長だろう、
それなら情報セキュリティに詳しい主任か、
など、たらい回しになりそうです^^;

そこがまず問題です。

よし自分が!
という人が複数現れるような組織でないと
なかなか漏洩事故はなくなりませんし、
お客様からの信頼を維持できません。

とはいっても、
そんな理想めいたこと、
無理だよなぁと思われる企業も
少なくないかと思います。

でも、単なる理想ではありません。
実際、複数の企業がそうなりました。
しっかりとした教育とコンサルをすれば
可能なんです。
ここは宣伝ぽくなるので、
興味のある皆様にだけお伝えすることにして
話を戻します。

責任者として最適なのは誰か
それは、
「個人情報保護のことをよく理解している
 取締役」です。

もちろん代表取締役でもよいです。

さてそれはあなたですか?
あなたの会社にいますか?

2017年7月5日水曜日

中小規模事業者がまず最初にすべきこと

改正個人情報保護法での
小規模事業者への緩和措置については、
以下のように書かれています。

政府の基本方針で、
「個人情報取扱事業者等が講ずべき
 個人情報の保護のための措置に関する
 基本的な事項」として、

個人情報の保護及び適正かつ効果的な活用
 について主体的に取り組むことが期待されて
 いるところであり、体制の整備等に積極的に
 取り組んでいくことが求められている。
 その際、事業の規模及び性質、個人データの
 取扱状況等に応じて、各事業者において適切な
 取組が実施されることが重要である。』
と書かれています。

そして、
個人情報保護委員会のガイドライン(通則編)」
の「(別添)講ずべき安全管理措置の内容」
において、

『具体的に講じなければならない措置や
 実践するための手法例等』が示されていて、
そこで、個人情報取扱事業者が講ずべき
安全管理措置とともに、中小規模企業では
『取り扱う個人データの数量』や、
『個人データを取り扱う従業者数』
が少ないことなどを踏まえ、
円滑にその義務履行し得るような手法の例』
が示されています。

いろいろ書いてありますが、
何より重要であり、第一歩目にすべきことは
「個人データを取り扱う従業者が複数いる場合、
 責任ある立場の者とその他を区分する」
でしょう。

「従業者」とは、社員だけでなく、
経営者や他の役員、さらにアルバイト等も
含みますので、個人データを取り扱う従業者が
複数いるという条件は、個人事業主以外は、
実質的にはすべての企業や団体が該当するでしょう。

つまり、重要なことは、
「責任者を明確にしなさい」
ということです。

全員役員の少人数企業などでは、
全員が責任者という状況があるかも
知れませんが、
個人情報保護に関しては、
それでも、責任者を決めましょう
ということです。

2017年7月4日火曜日

事業規模に応じたリスク管理が求められています

改正個人情報保護法で、
新たに対象となった小規模事業者に対して、
特別な配慮がなされています。

個人情報保護委員会のガイドラインに
「事業が円滑に行われるよう配慮する」
と書かれています。

もともと、政府の基本方針の中で、
「事業規模に応じた対応をすること」
と書かれており、
法律としては、一律の規定を課しているが
その対応レベルは、各社によって
その事業規模に応じて検討せよ
ということです。

事業規模とは、
企業の規模だけでなく、
取り扱う個人情報の数や、
それらが漏洩した際の影響などのこと
をいいます。

社員数が数千人という会社でも、
顧客情報はほとんど取り扱わない
という会社や、
数名の会社ながら、何万人という
顧客情報や、センシティブ情報を
取り扱うという会社もあるでしょう。

「事業規模」による勘案の際は、
まずは、自社が取り扱っている
個人情報や、今回定義された
要配慮個人情報をどれだけの規模で
取り扱っているかを洗い出すことが
大事であることもここでわかります。

これらは、
一般的な「リスク管理」と同様なので
その一環や一部として作業することが
好ましいと考えられます。

2017年7月3日月曜日

中小規模事業者には緩和措置が、でも・・

本日より正式にこちらで書いていきます。
よろしくお願いいたします。

2003年に公布された個人情報保護法は、
過去6ヶ月以内に取り扱う個人情報が
5,000件を超えない事業者は、
義務規定の対象からはずされていました。

2017年5月30日に全面施行された
改正個人情報保護法では
その措置がなくなり、
中小企業や自治会や同窓会などを含めて、
実質すべての事業者が
義務を負うことになりました。

しかし、個人情報保護委員会が作成した
「個人情報保護法ガイドライン(通則編)」
において、
「中小規模事業者」は、
安全管理措置について、特例的に
緩和された内容の対応が許容されています。

安全管理措置とは、
事業者が実質的に対応すべき内容ともいえる
とても重要なことです。

そして「中小規模事業者」とは、
従業員数が100人以下の個人情報取扱事業者で、
①以前から対象外ではなかった、取り扱う
個人情報の数が過去6ヶ月以内に5,000を超える者
と、
②委託を受けて個人データを取り扱う者
以外のことを指します。

これはマイナンバー法と同様です。

つまり、
改正前まで、この除外規定にあてはまっていた
中小規模事業者は、安全管理措置については、
委員会のガイドラインに示されているとおりの
緩和措置レベルで対応すればよい、
ということになります。

というのが、一般的なよくある説明。


では、現実的にどう対応すればよいのか
というと、

結局、ガイドラインをしっかり読まないと
いけないわけです。
そして、緩和内容に関しても、
何となく、引き算的な記載がされているように
思えますので、実質的には、
本来求められている対応内容を理解した上で、
中小だからこの程度でよいのだ、
という理解をしないと、
結局、わかりにくいように思います。

そのあたりも考慮して、
できるだけわかりやすいように
ボチボチ書いて行こうと思います。