個人情報保護法(「安全管理措置」編)
今日は少し冷たい雨でした。
インターネット上の掲示板に名誉を毀損するような書き込みがあり、
とりあえず削除したいと言う相談がありました。
この書き込みは、随分長い間、気付かず放置されていたようです。
ひとまず、掲示板管理者に削除請求を行うことになりそうです。
さて、今日は、取得した個人情報を個人データ化した後の
安全管理についてお話しします。
個人情報取扱事業者は、データ内容の正確性を確保しなければなりません。
まず、定期的に点検する必要があります。
そして、この法律で最も重要視されているのは、
「安全管理措置の義務づけ」だと思われます。
個人情報取扱事業者は、個人データの漏洩、滅失または毀損の防止等、
個人データの安全管理のため、組織的・人的・物理的・技術的な
安全管理措置を講じなければなりません。
経済産業省のガイドラインでは、安全管理措置の具体例がかなり
詳細に示されています。骨子は次の通りです。
◇組織的安全管理措置
安全管理について従業者の責任と権限を明確に定め、安全管理に対する
規定やマニュアルを整備運用し、その実施状況を確認すること。
◇人的安全管理措置
従業者との間で、業務上秘密と指定された個人データの守秘義務契約を
締結したり、教育・訓練を行うこと。
◇物理的安全管理措置
入退室の管理、個人データの盗難防止等の措置
◇技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御、
不正ソフトウェア対策、情報システムの管理などを行うこと。
ただ、どんなに物理的に安全管理措置を講じても、「人」が故意に行う
漏洩を完全に防止することは難しいと思われます。
リストラや転職が当たり前の雰囲気の中、会社の貴重な財産である
個人情報が軽々しく扱われるおそれは否めません。
やはり従業者に対する教育・監督が最も重要ではないでしょうか。
この従業者とは、雇用関係にある従業員(パート、アルバイトを含む)
のみならず、会社の役員、派遣社員等も含まれます。
ただし、従業者に対する監督を厳しくするにも注意点があります。
モニタリングに関しては、あらかじめモニタリングの目的を特定して、
社内規定に定め、それを従業者に明示しておく必要があります。
(電子メール等のチェックにも通じますね)
法律が定める安全管理措置が一筋縄ではいきそうにないということで、
情報セキュリティ関連の業者さんは商売繁盛とのこと。
しかし、何度でも言いますが、最後は「人」なんです。
次回は、もう少し安全管理のお話など・・・
