実務BOX

2013年02月04日

個人情報保護は、流出防止だけじゃない(後編) 著者:諸井賀正

個人情報保護法よりも顧客を意識しよう、取り組むべき重要ポイントを徹底解説

個人情報保護は、流出防止だけじゃない(後編)

【後編】企業が取り組むべき具体的な対策とは?
(小見出し)
個人情報の先には相手がいる
では、企業が個人情報保護を確実に行うためには、どうしたらいいのでしょうか。
個人情報保護の難しさは、情報を扱っているうちにその先に相手が存在していることを意識しにくくなることです。顧客リストを見てリスペクトはできないですが、コミュニケーションを通じて顧客は感情を持つことになります。短い時間で説明することが非常に難しいですが、一言でいうならば、「個人情報保護の課題は、コミュニケーションの課題でもある」ということです。個人情報保護法で事業者に求めているのは、「業務で扱うならば、本人の人格尊重の理念をもって適切に扱いなさいよ」ということ。人格尊重の理念とはプライバシーの配慮と考えてもよいと思いますが、同じ行為であっても、受け取り方・受け取る人・そのときの状況によってプライバシーの懸念になったり、ならなかったりします。相手がどう感じるかは、それまでの情報提供の仕方であったり、扱う情報の中身によっても変わります。プライバシーの問題はコミュニケーションの問題なのです。
個人情報保護において、いちばん重要なのは、従業員・委託先ですので、情報漏えいを防止するために、性悪説に立って金属探知機やPC画面監視システムなどを導入し、万全な監視体制に巨額の投資を行うという手段をしていている事業者もあります。そのようにしたくないならば、従業員に「個人情報は大切なお預かりもの」という意識を持たせ、個人情報保護への納得感を伴う教育を実施することに重点を置いたほうがよいでしょう。社内教育が難しいようであれば、私どものようなプライバシー保護教育の専門家に依頼することをおすすめします。
第三者認証取得と、認定資格の活用
また、第三者による認証を取得することで、社内の取り組み状況を検証しつつ意識を高める方法もあります。
◆個人情報保護に関する第三者認証の例
プライバシーマーク 日本工業規格に適合した個人情報保護体制を整備・運用しているかが問われる認証制度で、一般財団法人日本情報経済社会推進協会が運営しマークを付与する。法律を上回る自主的な取り組みも求められる法人向け認証で、消費者の意識向上や、事業者が社会的信用を得ることを目的としている。認証取得が取引先の条件となる場合もある。
ISMS適合性評価制度 情報セキュリティを確保・維持する組織を構築するためのリスクマネジメントが評価対象。イギリスの規格協会が策定し、日本では同一般財団法人が運営している。セキュリティポリシーを策定し、計画・運用・見直しを繰り返すPDCAが重視される点が特徴。ただし、個人情報保護全般を網羅する制度ではない。
TRUSTe 米国法人が発足させた認証制度。WEBサイトを運営する企業・団体が、策定した基準に適合して個人情報を取り扱っているかを審査し、適合しているWEBサイトに認証マーク掲載を認めるもの。アップルやマイクロソフトなどをはじめとするグローバル企業の多くは取得しており、国内では日本プライバシー認証機構が審査を行っている。消費者にもわかりやすい文言を使用しているため、信頼できるサイトであることを広く対外的にアピールできる。また、消費者は認証サイトから苦情対応プログラムを活用して、TRUSTeに苦情を申し立てることもできる。
さらには、CPA、CPP、CPOという個人情報取扱従事者の民間認定資格を、社員個人に取得させるのも有効です。顧客情報を実際に扱う担当者に、もっとも必要とされる知識や意識を強化できるというメリットがあります。ある社団法人では、全職員に入職時の研修で資格保持者することや、大手広告代理店などでは、自社では企業の第三者認証は取得せずに、担当者とその管理者に資格を取得させているという例も見受けられます。
◆個人情報取り扱い従事者の民間認定資格
 
(図表2)
個人情報取扱従事者資格(CPA/コーポレート・プライバシー・アソシエイト)……個人情報の取り扱いのある事業者の中で、個人情報の取り扱いを行うことのあるスタッフに対し、個人情報およびプライバシーについての基本的な考え方を身に付けてもらうことを目的とした資格
個人情報管理者資格(CPP/コーポレート・プライバシー・プロフェッショナル)……個人情報の取り扱いのある事業者の中で、個人情報を取り扱うスタッフを管理・指導することや個人情報を取り扱う業務全体を管理することができる実践的な考え方を身に付けてもらうことを目的とした資格
個人情報保護最高責任者資格(CPO/チーフ・プライバシー・オフィサー)……個人情報の取り扱いのある事業者で、最高管理者向けの資格。コンプライアンス知識を獲得する。
(特定非営利活動法人日本プライバシープロフェッショナル協会HPより)
プライバシーポリシーに他社のものを流用しない
次に、経営トップの意識と、企業の方針が示されるべきプライバシーポリシー(個人情報保護方針)についてですが、これは、企業内の個人情報保護の憲法のようなものです。これが、文章の意味もわからず他社のものを流用していている状況では、個人情報保護も何もありません。また、記載内容によっては、企業への評価が下がります。たとえば、既存のひな形をそのままコピーして用いていませんか?ひな形の中には間違った記述が放置されている場合もあるので、注意が必要です。また、利用目的を定めると書いてあるのに、その目的の内容が併記されていないこともよくあります。「お客さまの個人情報を大切に扱う」という方向性をきちんと自社で定めて、メッセージ性のある表記にするとよいでしょう。
翻って逆の視点から、管理部門や管理職が新しい取引先を選ぶ際には、以上の点に留意して、まずはプライバシーポリシーをチェックすることをお勧めします。第三者認証を取得しているかが選択時の参考になりますが、何より窓口となる営業担当者が、個人情報保護についてしっかり認識しているかを判断しましょう。たとえば、自社の個人情報保護方針についてきちんと説明できず、「当社は認証を受けているので、大丈夫みたい(・・・)です」といったあいまいな発言があれば、従業員の意識は低い可能性があります。また、了承を得ないまま、他の部署からも連絡が入ったり、退社した人が移った会社からアプローチされたりした場合も、個人情報保護は疎かであるとわかります。
【事例?】「カービュー」(http://www.carview.co.jp/notice/privacy/)
プライバシーポリシーの活用例として、「カービュー」という自動車ポータルサイトがあります(運営:株式会社カービュー)。彼らは、プライバシーポリシーを活用しやすいように、「収集」、「利用」、「保管」、「管理責任」という4つの軸でわかりやすい表現でまとめています。そして、会社として扱う全ての個人情報の種類やその利用目的などをプライバシーステートメントとして記載しています。カービューは、SNSサービスやアプリなどを利用していますが、採用やパートナー企業等に関するものなど個人情報に関する全てについて説明しています。マーケティングによるユーザー層分析からユーザー層が理解しやすい表現で記載しています。
(カービュー)
 
プライバシーステートメントは活用すると便利
加えて、情報をどこまで使用して、どのように管理するか、そのスタイルを明確化して宣誓することをプライバシーステートメント(個人情報の取り扱いに関する宣言文)と呼びますが、これを策定し利用すると非常に便利です。
企業としては、利用目的がどこまでなのかについて再認識することができます。顧客は、個人情報の取り扱いや利用目的やセキュリティなどの全てについて明らかになっているので不安がなくなります。そうした具体的な行いが書かれた宣言文を誠実に守ることで、顧客からの信頼も得られると同時に、事故原因が明確になることや目的外利用などの紛争が防げるからです。
【事例?】「コンパde恋ぷらん」(http://www.will-gocon.net/p3.html)
プライバシーステートメント活用の例として、「コンパde恋ぷらん」(運営:株式会社グッドウィルプランニング)というサービスがあるのですが、自社サービスの利用の流れに沿って、個人情報の利用目的を説明しています。ユーザーが、サービスを利用する際に自分の情報がどのように利用されるのかどうかわかるのと同時に、サービスへの理解が深まり安心感が持ちやすくなります。スタッフへの教育としても利用できます。
(コンパde恋ぷらん)
 
【事例?】「アイ・キューピット」(http://pc.i-qpit.jp/privacy.html?media=truste)
「アイ・キューピット」という結婚情報サービス(運営:株式会社アイランドウィズフィールド)では、ユーザーに理解いただくためにプライバシーステートメントにイメージキャラクターを利用しています。利用の説明の際には、解説の動画をいれています。
プライバシーステートメントは利用規約のような企業の免責を述べる文書ではなく、ユーザーに対していかにわかりやすくサービスを利用いただけるかという取扱説明書のような文書なのです。漢字ばかりを利用した堅苦しい表現では、ユーザーは読む気もしないので、そのような点も配慮されています。
 (アイ・キューピット)
もしも、個人情報が流出してしまったら
最後に、さまざまな対策を練り、実行したにもかかわらず、個人情報が流出してしまった場合。まずは流出についての状況をスピーディーに収集します。そのためには、情報管理の責任者にはある程度権限のある人を設定しておき、社内に周知しておくことが重要です。また、問題が起きたら素早く責任者の連絡が届くように日頃から情報を速やかに吸い上げられる体制を作っておきましょう。
次に、状況を整理し流出対象者への原因の報告と二次被害への注意喚起と謝罪を済ませたあと、速やかに公表します。原因究明も合わせて行いますが、流出した方の二次被害を防止することを第一優先と考え、おおよその原因がわかった時点で連絡と謝罪と公表を行った方がいいでしょう。公表までに時間がかかってしまうと、不祥事隠しと誤解されかねません。また、原因がわからないままでは営業再開ができない場合もあります。徹底的に調査し、再発防止に努めなくてはなりません。経済産業省など、監督省庁や管轄警察への連絡も行う必要があります。
個人情報の流出やプライバシー問題を事前に対策するPbD(プライバシーバイデザイン)という考え方があります。事故を起こして信頼を失ってから回復させるのは時間と労力がかかります。サービス導入時にリスク対策やプライバシー対策を行うことでサービス品質を向上させる方法があります。新規事業やサービスリニューアル時には、ぜひともプライバシーバイデザインの対策をお勧めいたします。
◆情報流出してしまった場合の対応の流れ
 (図表3)

個人情報保護法よりも顧客を意識しよう、取り組むべき重要ポイントを徹底解説

  著者: 株式会社ステックワイアード 取締役 プライバシーコンサルタント・講師  諸井 賀正


<前篇はコチラ>

【後編】企業が取り組むべき具体的な対策とは?


個人情報の先には相手がいる

 

では、企業が個人情報保護を確実に行うためには、どうしたらいいのでしょうか。


個人情報保護の難しさは、情報を扱っているうちにその先に相手が存在していることを意識しにくくなることです。顧客リストを見てリスペクトはできないですが、コミュニケーションを通じて顧客は感情を持つことになります。短い時間で説明することが非常に難しいですが、一言でいうならば、「個人情報保護の課題は、コミュニケーションの課題でもある」ということです。


個人情報保護法で事業者に求めているのは、「業務で扱うならば、本人の人格尊重の理念をもって適切に扱いなさいよ」ということ。人格尊重の理念とはプライバシーの配慮と考えてもよいと思いますが、同じ行為であっても、受け取り方・受け取る人・そのときの状況によってプライバシーの懸念になったり、ならなかったりします。相手がどう感じるかは、それまでの情報提供の仕方であったり、扱う情報の中身によっても変わります。プライバシーの問題はコミュニケーションの問題なのです。


個人情報保護において、いちばん重要なのは、従業員・委託先ですので、情報漏えいを防止するために、性悪説に立って金属探知機やPC画面監視システムなどを導入し、万全な監視体制に巨額の投資を行うという手段をしていている事業者もあります。そのようにしたくないならば、従業員に「個人情報は大切なお預かりもの」という意識を持たせ、個人情報保護への納得感を伴う教育を実施することに重点を置いたほうがよいでしょう。社内教育が難しいようであれば、私どものようなプライバシー保護教育の専門家に依頼することをおすすめします。


第三者認証取得と、認定資格の活用

 

また、第三者による認証を取得することで、社内の取り組み状況を検証しつつ意識を高める方法もあります。


◆個人情報保護に関する第三者認証の例

プライバシーマーク 日本工業規格に適合した個人情報保護体制を整備・運用しているかが問われる認証制度で、一般財団法人日本情報経済社会推進協会が運営しマークを付与する。法律を上回る自主的な取り組みも求められる法人向け認証で、消費者の意識向上や、事業者が社会的信用を得ることを目的としている。認証取得が取引先の条件となる場合もある。


■ISMS適合性評価制度

情報セキュリティを確保・維持する組織を構築するためのリスクマネジメントが評価対象。イギリスの規格協会が策定し、日本では同一般財団法人が運営している。セキュリティポリシーを策定し、計画・運用・見直しを繰り返すPDCAが重視される点が特徴。ただし、個人情報保護全般を網羅する制度ではない。


■TRUSTe

米国法人が発足させた認証制度。WEBサイトを運営する企業・団体が、策定した基準に適合して個人情報を取り扱っているかを審査し、適合しているWEBサイトに認証マーク掲載を認めるもの。アップルやマイクロソフトなどをはじめとするグローバル企業の多くは取得しており、国内では日本プライバシー認証機構が審査を行っている。消費者にもわかりやすい文言を使用しているため、信頼できるサイトであることを広く対外的にアピールできる。また、消費者は認証サイトから苦情対応プログラムを活用して、TRUSTeに苦情を申し立てることもできる。


さらには、CPA、CPP、CPOという個人情報取扱従事者の民間認定資格を、社員個人に取得させるのも有効です。顧客情報を実際に扱う担当者に、もっとも必要とされる知識や意識を強化できるというメリットがあります。ある社団法人では、全職員に入職時の研修で資格保持者することや、大手広告代理店などでは、自社では企業の第三者認証は取得せずに、担当者とその管理者に資格を取得させているという例も見受けられます。


◆個人情報取り扱い従事者の民間認定資格

 

図表2.jpg


個人情報取扱従事者資格(CPA/コーポレート・プライバシー・アソシエイト

 個人情報の取り扱いのある事業者の中で、個人情報の取り扱いを行うことのあるスタッフに対し、個人情報およびプライバシーについての基本的な考え方を身に付けてもらうことを目的とした資格


個人情報管理者資格(CPP/コーポレート・プライバシー・プロフェッショナル)

個人情報の取り扱いのある事業者の中で、個人情報を取り扱うスタッフを管理・指導することや個人情報を取り扱う業務全体を管理することができる実践的な考え方を身に付けてもらうことを目的とした資格


個人情報保護最高責任者資格(CPO/チーフ・プライバシー・オフィサー)

個人情報の取り扱いのある事業者で、最高管理者向けの資格。コンプライアンス知識を獲得する。


(特定非営利活動法人日本プライバシープロフェッショナル協会HPより)



プライバシーポリシーに他社のものを流用しない

 

次に、経営トップの意識と、企業の方針が示されるべきプライバシーポリシー(個人情報保護方針)についてですが、これは、企業内の個人情報保護の憲法のようなものです。これが、文章の意味もわからず他社のものを流用していている状況では、個人情報保護も何もありません。また、記載内容によっては、企業への評価が下がります。

たとえば、既存のひな形をそのままコピーして用いていませんか?ひな形の中には間違った記述が放置されている場合もあるので、注意が必要です。また、利用目的を定めると書いてあるのに、その目的の内容が併記されていないこともよくあります。「お客さまの個人情報を大切に扱う」という方向性をきちんと自社で定めて、メッセージ性のある表記にするとよいでしょう。


翻って逆の視点から、管理部門や管理職が新しい取引先を選ぶ際には、以上の点に留意して、まずはプライバシーポリシーをチェックすることをお勧めします。第三者認証を取得しているかが選択時の参考になりますが、何より窓口となる営業担当者が、個人情報保護についてしっかり認識しているかを判断しましょう。

たとえば、自社の個人情報保護方針についてきちんと説明できず、「当社は認証を受けているので、大丈夫みたい(・・・)です」といったあいまいな発言があれば、従業員の意識は低い可能性があります。また、了承を得ないまま、他の部署からも連絡が入ったり、退社した人が移った会社からアプローチされたりした場合も、個人情報保護は疎かであるとわかります。


 


 

【事例1】「カービュー」(http://www.carview.co.jp/notice/privacy/)


プライバシーポリシーの活用例として、「カービュー」という自動車ポータルサイトがあります(運営:株式会社カービュー)。彼らは、プライバシーポリシーを活用しやすいように、「収集」、「利用」、「保管」、「管理責任」という4つの軸でわかりやすい表現でまとめています。そして、会社として扱う全ての個人情報の種類やその利用目的などをプライバシーステートメントとして記載しています。カービューは、SNSサービスやアプリなどを利用していますが、採用やパートナー企業等に関するものなど個人情報に関する全てについて説明しています。マーケティングによるユーザー層分析からユーザー層が理解しやすい表現で記載しています。

 

カービュー.jpg

プライバシーステートメントは活用すると便利

 

加えて、情報をどこまで使用して、どのように管理するか、そのスタイルを明確化して宣誓することをプライバシーステートメント(個人情報の取り扱いに関する宣言文)と呼びますが、これを策定し利用すると非常に便利です。


企業としては、利用目的がどこまでなのかについて再認識することができます。顧客は、個人情報の取り扱いや利用目的やセキュリティなどの全てについて明らかになっているので不安がなくなります。そうした具体的な行いが書かれた宣言文を誠実に守ることで、顧客からの信頼も得られると同時に、事故原因が明確になることや目的外利用などの紛争が防げるからです。

 


 

 

【事例2】「コンパde恋ぷらん」(http://www.will-gocon.net/p3.html)


プライバシーステートメント活用の例として、「コンパde恋ぷらん」(運営:株式会社グッドウィルプランニング)というサービスがあるのですが、自社サービスの利用の流れに沿って、個人情報の利用目的を説明しています。ユーザーが、サービスを利用する際に自分の情報がどのように利用されるのかどうかわかるのと同時に、サービスへの理解が深まり安心感が持ちやすくなります。スタッフへの教育としても利用できます。

 

コンパde恋ぷらん.jpg

 


 

【事例3】「アイ・キューピット」(http://pc.i-qpit.jp/privacy.html?media=truste)


「アイ・キューピット」という結婚情報サービス(運営:株式会社アイランドウィズフィールド)では、ユーザーに理解いただくためにプライバシーステートメントにイメージキャラクターを利用しています。利用の説明の際には、解説の動画をいれています。


プライバシーステートメントは利用規約のような企業の免責を述べる文書ではなく、ユーザーに対していかにわかりやすくサービスを利用いただけるかという取扱説明書のような文書なのです。漢字ばかりを利用した堅苦しい表現では、ユーザーは読む気もしないので、そのような点も配慮されています。

 

アイ・キューピット.jpg



もしも、個人情報が流出してしまったら

 

最後に、さまざまな対策を練り、実行したにもかかわらず、個人情報が流出してしまった場合。まずは流出についての状況をスピーディーに収集します。そのためには、情報管理の責任者にはある程度権限のある人を設定しておき、社内に周知しておくことが重要です。また、問題が起きたら素早く責任者の連絡が届くように日頃から情報を速やかに吸い上げられる体制を作っておきましょう。

次に、状況を整理し流出対象者への原因の報告と二次被害への注意喚起と謝罪を済ませたあと、速やかに公表します。原因究明も合わせて行いますが、流出した方の二次被害を防止することを第一優先と考え、おおよその原因がわかった時点で連絡と謝罪と公表を行った方がいいでしょう。公表までに時間がかかってしまうと、不祥事隠しと誤解されかねません。


また、原因がわからないままでは営業再開ができない場合もあります。徹底的に調査し、再発防止に努めなくてはなりません。経済産業省など、監督省庁や管轄警察への連絡も行う必要があります。

 

個人情報の流出やプライバシー問題を事前に対策するPbD(プライバシーバイデザイン)という考え方があります。事故を起こして信頼を失ってから回復させるのは時間と労力がかかります。サービス導入時にリスク対策やプライバシー対策を行うことでサービス品質を向上させる方法があります。新規事業やサービスリニューアル時には、ぜひともプライバシーバイデザインの対策をお勧めいたします。


◆情報流出してしまった場合の対応の流れ

 

対応.PNG

 

 


 

 

<著者プロフィール>

諸井氏写真icon.jpg
 
株式会社ステックワイアード
取締役 プライバシーコンサルタント・講師
諸井 賀正

個人情報保護法の施行前2002年から広告代理店の子会社事業として個人情報保護総合支援サービスを手掛ける。プライバシーステートメント、TRUSTe、Pマークのコンサルティングおよび個人情報保護資格CPA、CPPの認定講師。プライバシービジネスのプロフェッショナル。

 

 

PAGE TOP