個人情報の洗い出しとリスク

今回から、事例を中心に個人情報保護の体制作りについて、解説していこうと思う。

この2週間ばかり、地方の銀行が主催するセミナーの講演依頼で、全国を2カ所回った。主に中小企業の方々が参加するセミナーだった。そこで出てきた質問のなかで多いのが、まずどう規程を作っていけばいいのか、また作る必要があるのか、といった相談である。つまり、法律が施行されたため、何かあったらまずいので、まず最低限、規程だけは整備したい、というニーズが多いのが実状なのだろう。

前回、機能する個人情報保護体制をつくるためには、文書化するだけではダメで、組織としてのプラン、デュー、チェックが求められている、と書いた。つまり、個人情報保護方針（プライバシーポリシー）に基づいて、それを達成するためのプログラム（計画、実施、監査、見直し）を作成することが重要なのである。経営のマネジメントシステムの一種として、機能させることが求められている。

重要なことは、社内にある個人情報の洗い出しである

実際に実行してみるとわかるが、規程づくりだけではうまく運用できない。

それは当たり前で、手続きだけ出来ても、なぜその手続きを踏まなければならないのか、現場の当事者には理解が出来ず、結局立派な規程があっても、それを棚上げして従来からのやり方で進めてしまいがちだからである。

こうしたことを回避するためにはどうすればよいのだろうか。それは、社内の各部署で、個人情報の洗い出しをする、その作業を丁寧にすることだ。

それでは「洗い出し」をなぜ丁寧にするのかといえば、そのリスクを考えるためである。つまり、どこにどのような状態で個人情報が散在しているか、を知ることがリスクを認識することになる。それがわからないと、リスクの程度がわからないので、例えば漏えい対策をすることが出来ない。情報セキュリティ対策で重要なことは、何でもセキュリティレベルを強固にすればよい、という考え方でなく、どこを重点的にする必要があるのかを割り出し対策することが重要である。

そのために手続きや規程があるわけだから、この部分は特に大切ということになる。この作業は、専門家の間で「リスク・アセスメント」と呼ばれている。

それではリスク・アセスメントで重要なことは、何であろうか。 [全文]