eラーニングマガジンに関するお問合せ、ご質問等は下記までご連絡ください。
eラーニングマガジン編集部

elmag2@nextet.net

特集2:組織の緊急課題への取組みを支援する連載 個人情報保護とプライバシー取得の知識(8)
正林国際特許事務所 所長 弁理士
正林 真之(しょうばやし まさゆき) http://www.sho-pat.com/

 監査体制の構築

 行動や実践をするにあたって、その推進力ともなるべき実行部隊を充実させることはもちろん大切ですが、チェック体制がきちんとしていなければ何にもなりません。チェック体制をきちんとするというのは、確固とした監査体制の構築をすることに他ならず、監査体制の構築をするということは、形式面では内部監査規定の作成のことであり、実質面では監査のための組織作りということになります。

 ここで、まず最初に、内部監査規定の作成につきましては、前回までに説明しましたように、個人情報保護方針(プライバシーポリシー)をきちんと制定さえしてしまえば、実は、その他の規定類は既存のものを使用することもできるわけで、内部監査規定もその例外ではありません。特に、監査体制というのは、それが監査である以上、どのような対象に対してのものであっても、たいていは同じような内容になるものです。ですから、労力を省くためには、自社の既存のものを使用し、あるいは改変を加えて転用することもできます。そのようなものが存在しなかった場合には、最近の個人情報保護法関係のブームにより出版されている規定類の雛形のうちで、特にコンピュータネットワークに対して有効そうだと思われるものをうまく活用するようにするとよいでしょう。

 次に、監査のための組織作りについてですが、まず重要なのは、監査組織のトップです。この組織のトップであるCPO(Chief Privacy Officer)を認定した後、その下に数人のプライバシーオフィサー(Privacy Officer)を配し、さらにその下に数人のファシリテイター(Facilitator)を配置することになります。
 CPOには、個人情報保護の重要性や重大性をきちんと認識した人物を当てるのはもちろんですが、会社や株主に対して責任を有する地位にある人物を当てるのがよいと思います。要するに、取締役レベルの人物を当てるわけですが、その理由は、個人情報漏洩事件の大半は内部関係者によるものであり、その中には、その部門の上司とグルになって行われるものがあるからです。そのような場合に、「怪しい行為」を見かけた者がその部門の上司に報告をしたところで、握り潰されるか、またはその報告者のほうがクビにされてしまう、というような事態が起きかねず、それを防止するためには、会社に対する裏切り行為を行った場合には重大な損害を被る者(=取締役)に対して直接その報告をすることができるルートを作っておく必要があるからです。
 上司とグルになって行われる漏洩行為は、今後、外資系の組織要素を取り入れれば取り入れるほど多くなってくると考えられます。そこで、CPOに取締役を当てる一方で、社内で見かけた「怪しい行為」については、この取締役たるCPOに対して直接的に報告することができるルートを構築しなければならないわけです。もちろん、取締役室に行くのは一般社員にとってかなりハードルの高いことですから、社内文書や社内メールを活用して行うことになると思います。
 また、CPOは、コンピュータやコンピュータネットワークに関する知識をある程度有する人物である必要があると思います。先の報告が社内メールによって行われるようになった場合にそれをうまく使えないと困るから、というのもありますが、何と言っても、個人情報の漏洩は電子データの持ち出しによって行われるものが殆どだからです。また、「個人情報の保護」の範疇には、電子データの改ざんやハッキング、不正なコードの挿入といったようなものを排除するといったようなこともその内容に含まれているため、現場からの現状報告やインシデントがあった場合の対処の際に、「専門用語が入ったとたんにその報告書に対してアレルギーを起こし、その内容が何のことやら全くわからなくなる」といったようなことだと、とても困るからです。

 CPOの下に配されるプライバシーオフィサーについては、たいていの場合、その部門の部門長などが兼任したりすることになると思われますが、たとえ兼任であっても、プライバシーオフィサーとして任命されたからには、プライバシー保護に関して責任を負うわけですから、その達成率が査定に響くようにしなければならないと思います。査定に響くということに関し、重大な漏洩事件が起こったときにクビにされるのはやむをえないことですが、それ以前にも、個人情報保護の達成率が低かったり或いは達成の速度が遅かったりした場合や、自社のプライバシーポリシーを言わせてみたら何も言えなかったとかいうような場合には減給するとか、そういったことが必要になると思います。

 プライバシーオフィサーの下に配置されるファシリテイターは、各組織の中から、その割合が10人〜20人に一人となるように、うまく選出します。「10人〜20人」というのは、特に決められた定数ではなく、1人の人間が単独で管理することのできる人数という意味ですので、この数字にとらわれる必要はありません。場合によっては、20人以上の人間を一度に見ることができる人も居る一方で、一人の人間すらまともに見ることができない人も居ることでしょう。「1人の人間が単独で管理することのできる人数」というのは、大きな個人差がありますので、あくまで「10人〜20人」というのは単なる目安と考えていただければと思います。
 このファシリテイターというのは、馬鹿にすることができるものではなく、結構重要です。それはあたかも、警察署があればそれだけで防犯が図れるものではない、ということと同じです。やはり、目立つところに交番が配置されている、というのは、防犯の上ではきわめて重要なことだと思います。

 内部犯行は、たいていの場合、個人データの利用者と個人データの管理・保守者とによって引き起こされます。先に説明した「上司とグルになっての犯行」のように、それが悪いことであるということが分かっているのにあえてそれを行う確信犯については、これはもうどうしようもないようなところがあります。一方で、例えばデータのチェックもかねて何気なく個人データのリストを見ていたときに、「このデータって、売るところに売れば、結構高く売れるんだよなぁ」と、ふと頭に浮かんだ場合を考えてみてください。個人データが売れることについては、そのことを知らない人のほうが少ない、いや、もう既にそのようなことを知らない人など居ないと言っても過言ではないと思います。
 そして、日常的に個人情報にアクセスすることが仕事である人であれば、何十回、いや何百回とアクセスするわけですから、その中の一回ぐらい、上記のようなことをふと考えることがあるでしょう。むしろ、「全く考えない」と思うことのほうが不自然です。そして、個人情報は、一件当たりは数円でも、十万件あれば数十万円にもなります。そしてそれは、紙の場合には何百枚のもコピーをしなければならないという作業が伴うのに対し、電子データの場合には比較的簡単にダウンロードすることができます。
 何が言いたいのかというと、「人間というのは弱いものだ」ということです。このような「このデータって、売るところに売れば、結構高く売れるんだよなぁ」と、ふと頭に浮かんだときに、「いやいや、そんなことなど、とんでもない」と思うのは、自己の道徳観によるものよりもむしろ、周囲から見られているという環境や、そんなことをしたらいずれバレて捕まってしまうと思うことのほうが多いのです。
 例えば一万円札を拾った人がすぐに交番に届けるケースには、道徳観がしっかりしている人の他に、近くに交番があったり、周囲にたくさんの人がいたり、ということを認識している人が拾った場合、というのが含まれるのです。もし人気のないところでこのような人が一万円札を拾ったとすれば、次にすることは、キョロキョロと周囲を見回すことです。その先のことは皆さんのご想像にお任せしますが、これを考える際に、「心がすごく強い人」と、「心が弱い人」と、「確信犯」と、というわけで、それらの存在比率を考えてみてください。多くの書籍やセミナーでは「確信犯」に対する対策ばかりが説かれていますが、「心が弱い人」とそれ以外の人で、どちらがマジョリティーかを考えてみれば、それに対する対策のほうが急務であることが、容易に理解できるはずです。

 このようなわけですから、ファシリテイターを各部署内でしっかりと任命し配置した上で、「交番(=ファシリテイター)やその他の人(=一般社員)に見られているということが個人データの利用者や管理・保守者に"分かる"環境をつくる」というのは、「善意で弱い心を持つ犯罪者を生まない」という意味では、きわめて重要なことなのです。
 
back
 
Copyright©2006 Next Education Think.All Rights Reserved.
掲載の文章・画像の無断使用・無断転載を禁止します。
特集1:やっぱり大学の就職セミナーじゃダメなんですね……異世代間コミュニケーションの能力開発 若年層教育編
   
特集2:組織の緊急課題への取組みを支援する連載 個人情報保護とプライバシー取得の知識(8)
(2)
   
特集3:eラーニングコース紹介 オンライン英会話スクールの老舗 グローバル・コミュニケーションズが運営!オンラインTOEIC(R)模試「e-test」
   
特集4:現場の事例で学ぶマネジメント連載 ヒューマン・マネジメントのテクニック(18)