プライバシーマーク取得 楽勝術!  

ト ッ プ

ア ク セ ス

沿  革

サ ー ビ ス 内 容

協 議 会 概 要

協議会コンサル実績

コンサルタントのよもやま話 

お 問 い 合 わ せ

関 連 リ ン ク

 

 

 

 

プライバシーステートメント

プライバシーマーク取得のためには「鶴の一声」が必要

プライバシーマーク取得までの流れと注意点を実例を交えて解説

日本事務器株式会社 コンサルタント
島田 昌明

第3回笛を吹けども現場は踊らず
〜困ったときの「鶴の一声」

いよいよ実施準備
さて、今回はいよいよマネージメントシステムの実施(旧規格ではCPの実施)段階ですが、ここでも色々なな問題が発生します。

その前に、作成した規定の実施手順は以下のようになります。
●実施スケジュールの調整(規定、個人情報保護法等の社内説明会準備)
●現場への大掃除の指示(個人情報の保存場所準備)
●セキュリティゾーンの決定
このようなことを事前に決めて、部門長に「ネゴ」しておく必要があります。

前回の個人情報の洗い出しの時、一番最初の仕事は不要な個人情報を廃棄することでしたが、それと同時にリスクの判定を行い、個人情報の保管方法を決定しておきます。
ここで、「セキュリティゾーンの決定」での笑い話のようなことを本気で実施しようとした会社のお話を紹介します。

(1)個人情報は全て「鍵のかかる場所」に保管する必要がある。現在の書庫は鍵がかからないので、会社の書庫を買い直す必要がある。

(2)プライバシーマーク(プライバシーマーク)を取るためには、サーバ室を作り、サーバは全てサーバ室に入れる必要があるが、現在スペースが無いため新たに会議室をつぶしてサーバ室を造った。

(3)サーバ室の鍵はもちろんのこと、ガラス窓があったら進入の危険があるのでガラス窓をふさいだ。

(4)各部屋の仕切りは天井までないとよじ登って進入できるので、パーティションを天井までの仕切りに変えた。

(5)サーバ室の仕切りを天井まで仕切ったら熱の排気ができずに室温が上がり、サーバがダウンしたため個別にクーラーを設置した。

プライバシーマークの規格であるJISQ15001でも、ここまでの要求はしていません。
設備の改造には多大な費用が発生しますので、対費用効果を十分に判定し、リスク(危険度、重要性)等のバランスで考えましょう。
例えば車の任意保険の場合、どこまで保険をかけるかは支払額と車の価値を考慮して保険金額を決定すると思います。
セキュリティもこれと同じです。バランスが肝心です。

 

実施のポイント
現場の推進委員は、現場では何を行うのかを従業員の皆さんへ具体的に指導する必要があります。 ポイントは3つ。

(1)紙の個人情報の保管方法
紙の個人情報に関しては、前回説明した個人情報の洗い出しとリスク判定の結果で決定した保存場所への保存を徹底する。

分類・管理例
※注「文書」とは、紙、FD、USB等の電子媒体を総称しています。

(2)一目でわかるセキュリティゾーンの設定
プライバシーマークにおいては、一般的にはセキュリティゾーンを設けます。セキュリティゾーンには一定の許可した人のみ入出をさせます。

一般的な例
●事務室と受付をカウンターや仕切りで分離する。
●「これより先の入出はご遠慮ください」などと書いた標識を設ける。
●事務所の内部へ入る必要があるお客様には「ゲストカード」といった名札などで識別できるようにする。

このようなことを行い、社員と訪問者を分ける必要があります。

(3)クライアントパソコンの取扱い
パソコンに関しては、「安全管理規定」や「システムセキュリティ規定」等という名前で運用の基準、規定が作成されますので、この規定通りの運用ができているか(できるのか)をしっかり現場に徹底させる必要があります。

クライアントパソコン運用上の必須事項は以下の部分です。
●Windows起動時のユーザーIDとパスワード設定。
●スクリーンセーバーの設定 (一定時間使用しなかったら画面がロック)。スクリーンセーバーの解除はパスワードにて解除。
●上記「一定時間」とは、一般的には3〜5分以内程度、1時間などは駄目。
●ウイルスソフトの導入。

 

実施で起こる問題と対策
一般的に現場の推進委員がお願いしても、なかなか個人情報保護対策が進まない部門が、どの会社にも 1つや2つあるものです。

■ コンサルに行ったある日の会話

「島田」

Aさん、どうですか、現場の方はしっかりと進んでいますか?

といった途端、どうしようという顔で

「Aさん」

島田さん、実は営業3課の課長から、「おまえら、委員はいいよな〜、言うだけだだもんな。
俺なんか、下から“課長、収納スペースが無いです。そんなに言うなら推進委員会で収納スペースを準備してくれって言ってくださいよ!”なんて言われるし。
俺だって忙しくて整理する時間がない。こんなことしてたら、仕事ができない。お前ら現場を知らないのか!って言いたいけど、同期のお前の苦労もわかるしな〜、もう少し待ってくれないか?」、と言われてしまいました。

「島田」

Aさんの困った顔を見ていると、それでも早くやってくださいとは言いにくい状況ですが、やるしかありませんからお願いしてください。

と鬼のような回答をしてしまいました。
推進委員の皆さん、色々現場でもあると思いますが、このようなことを聞いていたらいつまでたっても実施できません。
ここは、心を鬼にして進めてください。

一番手っ取り早い解決方法は、トップの推進委員責任者から部門長へ「鶴の一声」で強制的に実施させることです。
これは最後の手段ですが、なるべく波風立てない方法としておすすめなのは、コンサルタントのせいにして、部門長を脅します。

「××部長、実はコンサルタントから、XX部長の部門が遅れているのでこのままだとプライバシーマークの認証に問題があり、監査機関から指摘されてしまう可能性があるので、至急、対策をしてくれないと社長へ報告をしなければならなくなる、と言っていました。
私も、現場には色々事情がある、とコンサルタントにも言ったのですが、あちらも色々あるみたいで。
××部長のお力で、現場のみんなに“やれ”と指示していただけませんか?お願いします」
という感じです。

もしくは、部門の責任になりますよの脅しパターンです。
「××部長、このままですと監査で指摘されて、“プライバシーマークが××部のせいで取れなかった”なんてことになるかもしれません。そうなったら大変なことになりますから、よろしくお願いします」
という感じです。

まぁ〜とにかく、最後は「鶴の一声」でやっていただくしかないわけですし、どこの会社もできているわけですから、できないことはありません。
また、一挙にはできませんから、プライバシーマークの本審査の日までにぼちぼち気長に指導していくしかありません。


次回は、申請書の添付として必須事項の、監査報告書と教育の実施を中心にご紹介いたします。

島田 昌明
これまでに、銀行や証券と言った超大型システムの開発を行ってきた後、13年ほど前からパソコンに目覚め、PCシステム開発を中心にSEとして活躍。ひょんなことで、ISO9001の内部監査等を行うよう
になり、現在はプライバシーマークのコンサルが主な仕事。

ホーム > プライバシーマーク取得楽勝術 第3回