3つのステップで安全な領域へ
「約束の表明」⇒「事故率を下げる社員研修」⇒「法令遵守事業所プログラム」
3つのステップでより安全な領域へ個人情報管理責任者は、個人情報を管理する上で、「4つの管理」が求められます。(1)システム管理は技術的な側面が強く、専門的な企業に依頼すれば、ある程度クリアできる管理と言えます。しかし、(2)コンプライアンス、(3)社員教育・委託先管理、(4)モノの管理などの3つの管理は属人的な側面が強く、多くの企業で苦慮しているのが現状です。また、JISやISOを基準とした認定制度を取得していても、その運用で効果を上げることが難しいことも現実です。日本個人情報安全協会では、企業の個人情報セキュリティの属人的な面を3つのステップでサポートすることで、個人情報の取り扱いについて安全な事業所としての継続的な運用を実現します。ステップ1「約束内容のチェック」
信用される個人情報保護方針
責任を果たせるプライバシーポリシー取引候補とされたとき、相手の情報管理レベルの確認はホームページなどに(表明している)掲載しているプライバシーポリシー及び個人情報保護方針について具体的にチェックされます。現状に合わないポリシーと方針はトラブル時に企業の足元をすくいかねません!まず、コピペは絶対にNGです。日本個人情報安全協会では、最初のステップとして、これらの検証(チェック)を行い貴社にあったカタチで、方針やポリシーを必要な社内の周知や教育に活かします。その作業過程で、いまの社内で出来ていること、約束していても出来ていないことが見えてきます。
方針やポリシーを見直すことから取り組むべきことへと、計画が出来るようになります。ステップ2「事故率を下げる社員研修」
漏えい事故防止 と 不正防止「研修を何回も行っています」
「記録も残しています」
「理解度テストもしています」
いまの研修のカタチが、本当に漏えい事故や不正の防止に効果的となっていますでしょうか。実際の事故発生確率を下げることが出来なければ、使用者責任からの「アリバイ研修」といわれかねません。それが社員からも疎まれては、業務の効率も下がり本末転倒になるでしょう。
現場の安全意識を高めるためには、現場の声を聴くことからです。
みんなが問題を共有し、解決への分かち合いをして、初めて安全意識が動き出します。その意見とアイディアの集約が、管理上のカイゼンに必要な「答え」になります。
その答えを監査報告書の内容として、次のPDCAにつなげます。ステップ3「法令遵守事業所プログラム」
個人情報保護管理者の業務・職責をサポート個人情報取扱い事業者の職責は2つ
「法律・コンプライアンスを守ること」
「社員および委託先の継続教育」
個人情報保護管理者の業務は、この2つ責務の分析・評価・実践・報告です。
これらを社内で仕組み化して、事故の発生確率を下げ、漏えい事故発生時に被害拡大を防ぐ対応を整えなければなりません。
この「組織のしくみ」と「ヒトの教育」の2つについて、個人情報保護管理者の実践のお手伝いを致します。
基本的4分野12ポイント
➡ 「個人情報安全ドリル」
情報のサプライチェーン管理
➡ 「情報セキュリティBCP」