| ●街中、「個人情報保護法」関連の本だらけ。 |
なんだか、最近書店を見ると、この「個人情報保護法」関連の書籍ばかりですね。この法律を一言で言えば「個人情報を取り扱う一定の事業者には、罰則付きで、個人情報の収集・管理に関する一定の義務をを負わせる」と言ったことでしょう。
「大変そうだが、何から手を付けて良いのかわからない」という方も多いと思いますが、今回は私も含めて、中小企業者が「これだけはやっておきたい顧客情報保護策」について検討してみたいと思います。
しかし、役所が住民基本台帳を自由に閲覧させておきながら、民間人に「個人情報を慎重に扱え!」は無いような気がするんですけどね・・・(^^)
|
●すべての事業者が適用対象者ではない。でも、すべての事業者に大きな影響が。
|
まず誤解されては困るのは、この法律が適用されるのは、「顧客情報、取引先情報、従業員情報等に関して、過去6ヶ月以内に一度でも5,000人分以上の『個人情報』を有し、それらを事業を営む上で利用している事業者」であり、その情報に法人の情報は含まれません。ですからすべての事業者がこの法律の要求している措置を講じなくてはいけないという訳ではないのです。
ただし、「生存している個人を特定出来る氏名や住所等の情報」を5,000人分以上収集・管理しているとなると該当する中小企業は少ないような気がしますが、実は、DMデータやアンケート集計結果等もそこに含まれており、そうなると販売促進にDM送付者リストを作成している方などは注意が必要です。(電話帳のように第三者が作成したものをそのまま利用しても対象とはなりません)
もちろん、この法律の適用対象者が(1)利用目的の明確化(2)本人の許可のない第三者供与の禁止(3)適正な個人情報の管理など、本来法律が規定する義務を履行するのは当然ですが、問題はそれだけではすみません。なぜなら、これだけ社会の「情報管理」についての関心が高まった以上、適用対象とならないすべての事業者も、法人・個人を問わず「顧客情報保護策」を今まで以上に慎重に講ずる必要があるからです。
|
| ●効果は疑問だが、とりあえず最低限度のことは。 |
一昔前には、不正アクセスに対してファイアーウオール等を設置して防衛することが個人情報を保護に不可欠といわれ多くの企業が導入したと思います。もちろん、それらの不正アクセス防止に関しては大きな効果があったかも知れませんが、実際に個人情報が流出したほとんどの原因は、「従業員によるもの」でしたね。
そこで、私は、顧問先の方々には、下記の「顧客情報保護策」を最低限行うようアドバイスをすることにしました。
「これだけはやっておきたい顧客情報保護策」−顧客情報取り扱いマニュアルの作成
| 1 |
従業員・委託先から、「守秘義務遵守に関する誓約書」の徴求。 |
| 2 |
従業員から「メール送信状況の確認を承諾する旨の誓約書」の徴求。 |
| 3 |
不要になった時点で、速やかに顧客情報を適切な方法で破棄する。 |
| 4 |
書類は施錠保管をする。社外持ち出し時は、車内・電車の網棚等に放置しない。 |
| 5 |
PCや顧客情報ファイルにログインパスワードを設定。 |
| 6 |
顧客データに接触出来る人数を最小化。 |
| 7 |
顧客データに関するファイル転送時の暗号化。(*1) |
| 8 |
誤送信を防ぐためFAXは可能な限り短縮ダイヤルで送信。 |
| 9 |
不正アクセス防止ソフトの導入。 |
| 10 |
フラッシュメディア等の外部メディアにはパスワード設定の出来るモノを利用。(*2) |
まあ、上記の方策は、ほとんど、従業員に「この会社はうるさいな」と思わせるためのもので、効果の程は、小学校の 「廊下は走らないこと」っていう貼り紙ぐらいのものでしょうけどね。
(*1)私も使う簡単・便利な暗号化ソフトはこちら(フリーソフト)
(*1)私も使うパスワード設定可能なフラッシュメモリはこちら
|
| ●対策の費用対効果は慎重に見極めよう。 |
おそらくどの本を見ても、「個人情報保護策を怠ったら大変なことになる。万全な対策を!」と書いてあることでしょう。ただ、個人的には、「100%の情報管理なんてあり得ない。」という感じです。実際にどんな方策を講じたって漏れるものは漏れるんです。 「当社は、万全の対応策をしているのでご安心ください」なんてどう考えても言えないと思うんですけどね。
「認識が甘い!」とのご批判を覚悟の上で、本音を言わせてもらうと、中小企業者がとるべき顧客情報保護策は、万一漏れたときに、対外的に「ああ、そこまでやったんだ。それで漏れたんじゃ仕方がないね」って言われるための「最低限度のこと」をしなくてはいけないのではないかと言うことです。あとは、賠償保険加入を含めて、そんなときに如何に真摯に対応するかを考えておいた方が良いのではないでしょうか。
プライバシーマークの取得も含めて、きちんとした個人情報保護策を講じていないと「取引先から選別される」と言われていますが、これってISO取得ブームの時と全く同じ表現ですよね。現実にISOが無いために、取引停止になった先は、どれ程あるのでしょうか。
「これをとっていないと大変なことになる」とやたら脅かされたサービスマークの時も、儲かったのはコンサルティング会社のみっていうこともありましたしね。皆さん、サービスマークってご存じですか?
さらに、私の本業内でも、税効果会計に対応していない企業は、「金融機関の信用を失い、融資が受けられなくなるので、中小企業であっても絶対に対応すべき」とどの本にも記載されていました。しかし、実際には、中小企業には、全く影響が無いどころか、準拠した処理を約束するチェックリストを添付すれば優遇金利の適用される場合すらある「中小会社会計基準」でも「税効果会計の適用は強制しない」と記載されているほどです。
ですから、すべての事業者が顧客情報保護の取り扱いに注意を払うのは当然のことではありますが、わざわざプライバシーマークの取得等を行うことは、どれだけの費用対効果があるのかもう少し様子を見てからでもよいのではないでしょうか。そもそも、経済産業省もこのマークに法的効力はないといっていますしね。
まあ、御社が先陣を切って人身御供になって頂くのは、大歓迎ですが・・・(^^)
*上記はあくまでも私見です。とるべき顧客情報保護策は、御社のご判断でお決めください。
|
|
