Pマーク担当向け教育更新コラム

形骸化(けいがいか)の代償

pmark-anchor 2009年5月11日 月曜日

個人情報保護アドバイザーの目木知明です。

本日は情報セキュリティコンサルタント岸本雅美のコラムです。

社内の運用形態が形骸化を招いているのでは・・・

と思いの企業様は要チェックです!

 

「形骸化(けいがいか)の代償」

 

意味としては

・制度や規則の形だけが残って実質が失われること。

・誕生・成立当時の意義や内容が失われたり忘れられたりして、形ばかりのものになってしまうこと。

とある。

 

この10年のコンサルティング活動を通じてもっとも脅威を感じる“リスク”である。

多くの場合、結果として形骸化したのではなく

なるべくしてなってしまったというのが実情だろう。

つまり構築したPMSと実態の乖離が進行する中

十分な見直もされることなく

更新期日までのカウントダウンとともに

担当者はことの重大さに愕然とするケースも少なくない。

 

新規認証の時は「服に体を併せる」ことが精一杯で

本来の「体に合った服(PMS)」になっていないことが多い。

第三者審査による認証制度という性格上

ある程度は仕方がない部分もあるが

そろそろ問題の本質を見極める時期を迎えている。

 

プライバシーマーク制度の場合2年ごとに更新審査が訪れる。

更新付与申請はその3~4ヶ月前となるため

実質的には16~18ヶ月ごとに準備作業が必要となる。

取り扱う個人情報量や事業規模の程度により差はあるが

更新準備から更新完了までの期間は大きな負担を強いられる。

 

JISQ15001:2006要求事項では

“形骸化”しないための管理が数多く求められているが

認証後のPMS運用においては

「~しなければならない」ことができていないという問題に直面する。

審査における運用証明は当然“エビデンス”である。

では、何故“エビデンス”が確保されなかったかという

本質的な問題に目を向けない限り根本解決にはならない。

 

企業は生き物である。

人も組織も、そして環境も変化していくものである。

まして昨今のように劇的な経済環境の変化に遭遇すると

優先順位が一気に後退してしまうことも考えられる。

しかし、PMSへの無関心や放置は重大事故の温床になり

たまたま何もなかったから問題はないと考えるのは

“形骸化”をさらに助長する結果となる。

 

やはり“原点”に立ち返り

リスクを見極め、優先順位付けをすること。

リスクレベルに見合う管理策を選択し、周知・徹底、そして点検すること。

形骸化による結果責任は経営者が負っていること。

「事業者の代表者による見直し」こそ

形骸化リスクの回避、低減への最善手であると考える。

 

2009.5.11 情報セキュリティコンサルタント 岸本雅美

商売繁盛への個人情報保護対策!

pmark-anchor 2009年5月1日 金曜日

 

こんにちは個人情報保護アドバイザーの目木知明です。

 

さてさて、昨年10月からの景気後退を受けて

当社のお客様の中にもプライバシーマークの更新を

辞退された企業が数社ございました。

これは経営判断ですので致し方がないことです。

しかし反対に、こういう時こそ新規事業で攻めていきたい、

と言われ、その新規事業のためにPマークを取得される企業様もあります。

 

今日のお題はそんな新規事業にまつわる個人情報保護について。

 

私とご契約頂きました企業様には

サポート活動の中で、何度も何度も

「個人情報の移動・複製は減らしましょうね!」

とお話しております。

 

私の個人情報保護対策のポリシーは

「個人情報の移動・複製を減らす!」です。

これに尽きます。

そして言葉通り、企業の個人情報の移動・複製を減らすための

業務改善をかなり行ってきました。

 

これがお客様にも浸透して参りまして

最近、私へのオファーとして

「新たに新規業務を行いたいので個人情報の取扱いを

“できるだけ複製しない手順”で構築を手伝って欲しい」

という相談が増えてきました。

 

個人情報は移動や複製が発生する度に

リスクが一つ一つ生まれていきます。

 

新規事業の構築は、真っさらから業務を構築する事になりますので

できるだけリスクを抑えて構築しやすいというメリットもあります。

 

こういった景気低迷の時代、

新規事業をお考えの社長様も多いかと思いますが

その際はできるだけ個人情報の移動・作業(複製)が発生しない

仕組みでの構築を心がけてください。

 

そして新規事業の構築時には、是非お声掛け頂ければと思います。

「お商売繁盛のための個人情報保護」を

コンセプトにお手伝いさせて頂きます。

 

今日はこのあたりで。

 

2009.5.1 目木知明

 

個人情報の漏洩流出拡大、三菱UFJ証券事故

pmark-anchor 2009年4月23日 木曜日

個人情報保護アドバイザーの目木知明です。

 

今日はこのニュースについて

「流出拡大、進退へ発展も 三菱UFJ証券 顧客情報、77社に」

 

過去にも名簿業者への販売により個人情報の漏洩事故は多々ありましたが

一度漏洩した個人情報は永久に回収できないということを

もっと事業者はしっかりと認識する必要があるのではないでしょうか。

 

永久に回収できない!

とは不安をあおるような発言ですが、残念ながらこれは事実です。

過去にたくさんの事故・事件に遭遇しましたが、

「漏洩や事故が起きて、ことの重大さ、

はじめて個人情報保護の必要性が理解できました」

とコメントする経営者が多いことにビックリします。

 

特に大量の個人情報を保有する事業者は以下、ご注意ください。

 

まず個人情報の内容に“資産情報”や

“身体に関する情報”は含まれていませんか?

 

仮に漏洩などの事故が発生した場合、

刑事罰のほかに民事の賠償もあり

過去の判例上、エステティックTBCの判例では

1人あたりの賠償額が3万5000円となりました。

仮に1000件の漏洩があった場合は3500万、

10000件の場合は3億5000万で

中小ベンチャー企業であれば、一気に吹っ飛ぶような金額です。

 

情報が漏洩された当事者からみれば

ずっとこの情報が世の中に出回り続けると思うと

精神的苦痛は絶え切れないものがあることでしょう。

この賠償額は今後の一つの指標になりますが

上がることがあっても下がることは決してないと思います。

 

エステティックTBCを担当した弁護士の紀藤氏は

責任を認めたことは評価しながらも、

「4年間争ったのに、この賠償金額は低い。

少なくとも50万円以上でないと見合わない。

この金額では、被害者は泣き寝入りするしかない。

この程度の額では、企業による情報流出の歯止めにはならないだろう。

情報流出を許さないような社会的コンセンサスが必要だ」

 

とコメントしています。

 

しかし今回の三菱UFJ証券の事故から見ても解るように

なかなか歯止めの掛からないのが現状です。

 

今日はこのあたりで。

 

2009.4.23 目木知明

急な個人情報管理者の退職、事務局担当者の退職で大慌て!

pmark-anchor 2009年4月21日 火曜日

こんにちは個人情報保護アドバイザーの目木知明です。

さてさて、わたくし目木知明ですが、初めての方もいらっしゃるかと思いますので

簡単な自己紹介をさせて頂きます。

 

プライバシーマークのアドバイザー業務は

2002年から行っていますので今年で8年目になります。

生まれは兵庫県赤穂市の33才になります。

こんなことは、どうでも良いかもしれませんが・・・

 

先日コラムを掲載した岸本は

1999年からプライバシーマークのアドバイザーを行っているので

もうかれこれ10年戦士になります。

 

このコラムでは、最新のプライバシーマーク最新情報から

他社の事例、こんな事には気をつけようなど

読み易い記載で書いていきたいと思いますので

どうぞ宜しくお願いします。

 

今回のお題は、管理者の退職、事務局担当者の退職です。

 

1年のうちに必ず3社~5社は、

お客様から『目木さん、いままでお世話になりました。この度、退職することになりましたといった』

といったメールが私のところに届きます。

 

その後、その会社の社長様や役員の方から

慌てた声で電話が入り、『マークの更新時期が迫ってきているが・・・』

といった相談を受けるパターンが、

最近めちゃくちゃ多い!というのが事実です。

 

100名未満の会社でマークを取得されている会社では

だいたい1名~2名の体制でマークの維持をされているかと思いますが

もし辞められたらのことを考えていますか?

 

そんなの辞めてもだいじょうぶ、だいじょうぶ!

と思っている方も多いと思いますが

一から個人情報保護やJIS規格を覚えることは大変です。

また、審査は別として運用体制が一気にダウンしてしまいます。

解りやすくいえば、会社に残ったのは文書だけ

運営ノウハウは退職していった人のみが保持となります。

 

最近も急に事務局担当者の方が

体を壊され、退職された会社がありました。

この担当者は1人で全てを行っていましたので大変でした。

プライバシーマークは2時間ほどで引き継げるものではありません。

 

結局のこの会社は、JISの勉強会

個人情報の特定、リスク分析、教育、点検を

私と一緒に行って新規担当者を養成しましたが

3ヶ月も掛かりました・・・

 

今回のことを経て、この会社の社長さまと今後の対応を考えたのですが

事務局を毎年2名で構成し、次年度は別の担当者を任命し

役回りで運用していこう!となりました。ポイントは2名です!

担当者になることで教育や点検を実施し、

個人情報保護の理解や会社の仕組みについて深く入り込める

というメリットがあるので期待の若手を選抜していくことで

運営を決断されたました。

 

あなたの会社の管理者、事務局担当者も

いつ辞めてしまうかわかりません。

急な退職があった場合の備えも必要ですよ!

 

本日はこのあたりで。

 

2009.4.21 目木

プライバシーマーク更新 現地審査対策は代表者関与が最重要

pmark-anchor 2009年4月13日 月曜日

さて、今日のお題は更新審査について。

 

相変わらず個人情報に係わる事故が後を絶たない状況に

少なからず不安を感じるPマーク認証済企業も多いのではと思う

特に、ヒューマンエラーや不正アクセスとなると

いつ発生してもおかしくない状況であり、

見えない脅威に対してどこまで備えるのかも極めて難しい問題である。

 

Pマーク制度では2年ごとに更新審査があるが

新規申請とは異なり、その審査も一段と厳しい。

 

2年後といっても4ヶ月前からの受付が始まるため

その準備期間を入れると事実上1年半程度となる。

 

プロジェクト期間中は合格までモチベーションを

持続することは比較的容易であるが、認証合格後に落とし穴がある。

PMS運用の持続と定期的な見直しが維持できていないケースが見受けられるのだ。

 

これはマーク認証だけが目的になっている場合に多く

本来の目的である“個人情報保護”という

マネジメントシステムが形骸化してしまうためであろう。

 

同制度が求める“スパイラルアップ(継続的な向上)”を考え合わせると

プロジェクトスタート時に更新時点まで視野に入れた取り組みが望ましく

合格時点から、また新たな取り組みが始まると考えるのが適切である。

 

個人情報保護を根付かせ、全社的な取り組みの中でPMSを

維持・管理を徹底するためには厳格な内部監査がポイントとなる。

 

当然ながら代表者や経営陣の関与も不可欠である。

 

本来、個人情報保護はトップマネジメント事項であり

企業コンプライアンスの重要テーマでもあるからだ。

 

最後に、経営者の積極的な関与が更新審査状況を大きく左右するという事実は

これまで多くの更新サポートをお手伝いしてきた率直な感想であるとこを

書き添えておきたい。

 

2009.4.13

情報セキュリティコンサルタント 岸本雅美