個人情報保護対策事例について
個人情報保護対策として、実践されている事例や方法をご紹介しています。
※本ページの内容は自社内での運用を想定していますので「プライバシーマーク制度(Pマーク)」を利用した体制構築とは相違があります。
Pマーク取得の場合のPMS(プライバシーマネジメントシステム)の構築では、要求事項を満たすため客観的な資料の整備等が追加されます。
体制についてあまり大がかりなことをすると、事務作業が増えてメインの業務支障が出る可能性もあります。ただし、 現状に合わせて必須事項と思われるものについては対策するべきです。
対策事例と解説
・個人情報保護方針(プライバシーポリシー)・自社の個人情報の利用目的を公表する。
・個人情報の取得時には、本人の同意を得て取得する対応を取り入れる。
・個人情報の利用は公表した利用目的の範囲内に制限し、第三者提供等は原則禁止とした社内ルールを定める
対社内的にも社外的にも、事業所で取扱う個人情報は適切に取扱う旨を公表し、適切な個人情報の取扱いを行なうため、 一定のルールを定めるという趣旨です。個人情報を記入いただく書類には利用についての同意のチェック欄を設ける等を行うことで、対策を講じている事業者としてのアピールもできます。
・事業所のレイアウトを見直しを実施する。
・机上の書類の整理を行なう。
・個人情報関連資料は整備し施錠保管する。
・個人情報関連資料は、シュレッダー等で確実に廃棄するルールを定める
書類関係が乱雑になっていたり、不要となったものを放置していると、情報流出の危険性も高まります。レイアウトに至っては、顧客・来客者から 容易にパソコン画面が見れるような配置は控える配慮が要ります。また、コピー用紙やメモ用紙として情報記載の用紙を裏紙に使用している場合、不用意に流出も考えられます。
・パソコンやデータにはパスワードを設定する。
・外部記憶媒体(USBフラッシュメモリ等)の使用制限を行なう。
・ウイルス対策ソフトを導入する。
・導入しているソフトウェアは自動更新されるよう設定する。
・データ類は定期的にバックアップを実施する。
・データや不要パソコンについては、専用ソフト又は物理的な破壊による廃棄をする。
古いソフトウェアであればあるほどリスクは高まります。前項と同じですが、大量のデータの盗難・流出をできる限り防止する対策も必要です。
・従業員へは秘密保持契約等情報の非開示事項に関する取決めを実施する。
・個人情報保護のルールに違反した場合には罰則の規程を設けて実効性を持たせる。
・外部委託を行なう場合、個人情報保護に係る内容を盛り込んだ委託契約を締結する。
・委託契約には、事故発生時の責任の所在を明確にする。
・委託先を決定するための基準や方法を定める。
個人情報保護対策の要は、最終的に人的要素です。
情報保護に対する認識を高めるため、定期的な教育やルール作り等を行うことで改善されるはずです。