ITセキュリティ入門(IT初心者向け)-4:個人情報はどのように取り扱う?(パート2)
個人情報はどのように取り扱う?(パート2)
個人情報を保護するためには、個人情報を適切に管理するための個人情報保護方針を策定して、その方針を実行するための体制を構築します。そして、個人情報保護管理者を任命して、その体制のもとで管理システムを構築・運用していくことになります。管理システムを維持していくためには、継続的な改善の仕組み、すなわちPDCAサイクルの導入も必要になります。
そのようにして、個人情報の取り扱いについて適切な体制を整備している事業者を認定する制度、プライバシーマーク制度というものがあります。この取得には厳しい基準をクリアする必要がありますので、取得事業者は個人情報を取り扱う組織として信頼を得ることになります。
個人情報保護のためには、特に次のような点に注意します。
- 安全管理措置:安全管理のための必要な措置を講じる義務がある
- 委託先の監督:個人情報の取り扱いを委託する場合には、適切な委託先を選定して監督する義務がある
- 要配慮個人情報:本人の人種、信条、病歴などの配慮が必要な個人情報は、原則として本人の同意を得る義務がある
マイノート(これまでの私の体験・見聞から一言)
個人情報を保護する必要性は分かっていても、専門の事業者でない限り、一般の企業では上記に述べられたような体制を構築するのは、なかなかむずかしいかもしれません。
しかし、昨今はほとんどビジネスでそうだと思いますが、自分たちのビジネスで個人情報を取り扱う可能性があるのであれば、少なくとも方針と責任者を決めておく必要があると思います。そうしておけば、いざというときに誰が何をするべきかで社内で揉めることなく、何をどのようにするべきかという議論にすぐに入れると思います。
また、個人情報の取り扱いを専門業者に委託することは、よくあるケースだと思います。別の見方では、専門の業者に取り扱いを任せたほうが安心とも言えるかもしれません。しかし、その場合でも委託元に個人情報保護の責任はありますので、適切な委託先を選定したり、委託先の運用を監督する義務は発生します。委託先の体制や運用が適切かどうかを確認するためには、私自身も経験しましたが、定期的に委託先を訪問したりしてチェックをすることが大切ですね。