eラーニングマガジンに関するお問合せ、ご質問等は下記までご連絡ください。
eラーニングマガジン編集部
elmag2@nextet.net |
|
 |
 プライバシーマークを申請するにあたって、コンプライアンス・プログラムに含まれるものはすべて文書化することが必要です。コンプライアンス・プログラムは、代表者宣言、組織体制、管理者、その他多くの要素により構成されることになります。
ここで、全社の標準ベースとなる個人情報保護規程は抽象的な表現となることが多いので、規程だけを形式的に作成するのではなく、実践運用において活用できるような具体的な行動レベルまで落とし込まれた詳細規程や実施細則、運用マニュアル、書式類(フォーム)や様式類の策定が必要となります。
しかしながら、皆さんの周囲では、昨年の4月から施行されている「個人情報の保護に関する法律(平成十五年法律第五十七号)」にあわせたように、巷には「個人情報保護」に関する本が多数出ており、また、いくつかのウェブページを見ても、色々な定型文や雛形が掲載されるようになってきています。
前回説明いたしました個人情報保護方針(プライバシーポリシー)は、その企業における特有で個性的な考えの基本を示すものであることから、他からの単純な直輸入をすることなどは考えられないわけです。一方で、末端の具体的な取り扱い方法というのは、何か特別な方法を考え出さねばならないというようなものではなく、従来からのありふれた方法をうまく組み合わせたものからなるというのが通例です。ですから、個人情報保護規程をはじめとする具体的な諸規定については、その個々のものについて、方向性の合致している定型文や雛形を見つけ出し、それをうまく変形して活用するようにするのが、最も効率の良い方法であると思います。 |
| |
|
個人情報保護規程は、コンプライアンス・プログラムの中の規定類の上位に位置するものであり、企業において保有する個人情報を保護するための、総括的な全社共通の標準規程(スタンダード)です。具体的には、企業における個人情報保護方針にもとづいて当該企業が取り扱う当社の役員・従業員以外の個人情報の適切な保護のための基本規程であり、役員・従業員などはこの規程に従って個人情報を保護していかなければならない努めを定めたものです。
ここで、その企業において、その全部または一部がコンピュータなどの自動的手段により処理されている個人情報および手作業により処理されている個人情報であって、組織的に保有するファイリングシステムの全部または一部をなすものは個人情報保護規程の対象となります(コンピュータ処理情報だけでなく、紙文書などマニュアル処理を行っている情報も含まれます)。 ちなみに、個人情報保護規程の構成として、例えば以下のようなものを参考にしてみてください。 |
| |
|
|
| ・ |
総則(目的、規定の対象、定義等) |
| ・ |
個人情報の収集に関する規定(個人情報の収集の原則、収集方法、特定の機微な個人情報の収集禁止等) |
| ・ |
個人情報の利用に関する規定(個人情報の利用範囲の制限、目的内利用の場合の措置、目的外利用の場合の措置等) |
| ・ |
個人情報の適正管理に関する規定(個人情報の正確性の確保、個人情報の安全性の確保、個人情報の委託処理などに関する措置、個人情報の第三者への提供等) |
| ・ |
自己情報に関する情報主体からの諸請求に対する対応に関する規定(自己情報に関する権利、自己情報の利用または提供の拒否権等) |
| ・ |
管理組織・体制に関する規定(個人情報保護管理者、個人情報保護監査責任者、個人情報保護苦情・相談窓口の設置等) |
| ・ |
個人情報管理責任者等の職務に関する規定(個人情報の特定とリスク調査、文書の管理、教育実施等) |
| ・ |
監査に関する規定(監査計画、監査の実施等) |
| ・ |
個人情報の廃棄に関する規定 |
| ・ |
罰則 |
| |
|
|
|
|
 個人情報保護規程の下位概念として存在するもので、現場の皆さんにもっとも身近なものは、おそらくセキュリティポリシーとネットワーク管理規程ではないでしょうか。
セキュリティポリシーは、セキュリティに関する企業の理念・方針で、その企業においてコンピューティング環境(社内イントラネット、LAN、インターネット、スタンドアローンで使用されるパソコンなど)をユーザーが安心して利用できるようにすること、また、コンピュータを障害から防ぎ、情報を守ることを目的とするものです。
(財)日本情報処理開発協会(JIPDEC)の申請書類上、セキュリティポリシーの提出を「定めている場合」は別紙として添付することとなっており、また、(社)日本マーケティング・リサーチ協会では、セキュリティポリシーが必要となっています。これはプライバシーマークの申請機関により扱いが異なるので、まずは申請する予定の機関に対し、セキュリティポリシーの必要の有無を確認するとよいでしょう。
セキュリティには、大きく分けて、不正侵入対策、コンピュータウィルス対策、ハードウェア障害対策、データ保護対策の4つがあります。これらについて、セキュリティの管理者(ドメイン管理者・ネットワーク管理者)を明記しつつ、セキュリティの問題が発生するのを未然に防止するよう努めるとともに、万一問題が発生した場合にはすぐに対応できる環境を構築しなければなりません。
ここで、ネットワーク管理者やドメイン管理者については教育に関する事項(より具体的には、ドメイン管理者へコンピューティング環境など必要な事項の教育を行わなければならないこと、ならびに、ドメイン管理者はユーザーにコンピューティング環境の教育など必要な事柄を行わなければならないこと等)を文書化するようにしてください。
ところで、ネットワーク管理規程の主目的は、適切な機器の利用・運用とセキュリティ対策にあります。ですから、コンピューティング環境の安全な運用のために「ネットワーク管理規程」を制定し、管理者およびユーザーがともに厳守する義務を負うことなどを文書化することになります。
 ネットワーク管理規程の適用範囲は、社内ネットワークにて運用・管理される情報資産、情報資産の管理業務、情報資産を取り扱う利用者情報、資産を取り扱うためのハードウェア、ソフトウェア、記録媒体などで、管理体制として主管部署や管理登録作業部署などを決定することから始めます。具体的な文書の構成として、総則(目的や管理体制、管理範囲等を定める)、社内ネットワークの利用に関する規定(ユーザーID、パスワード、アクセス権、ウィルス対策等)、社外ネットワーク利用に関する規定(Eメール、ホームページへのアクセス等)、外部からの接続に関する規定(外部からの接続形態、利用の監視、利用の停止等)のような構成を挙げることができます。
ここまで読んで、「なんだか面倒臭そうだな」と思われた方もいらっしゃると思いますが、既に述べましたように、実は、上記のような個人情報保護規程をはじめとする具体的な諸規定については、方向性の合致している定型文や雛形をうまく変形して使うことができます。
また、前回までの学習により、具体的な諸規定を作らねばならない煩わしさはあるにしても、個人情報保護方針(プライバシーポリシー)の制定の仕方によっては、現在の企業活動をほとんど変えなくて済む、ということを理解されたと思います。その理由は、プライバシーマーク制定の基本となった個人情報保護法その他の規定が、実は個人情報を保護するものというよりもむしろ、個人情報の取り扱い方を定めたものであるに過ぎないということに起因しています。ですから、プライバシーマークの導入を検討したからといって、すぐに現場の状況がガラっと変わってしまうというようなことはないわけです。 |
| |
|
|
|
|
