ビジネスわかったランド (総務・庶務)
危機管理事項
個人情報が漏れた場合の緊急処理は
万一のときに即座に対応できる体制・手順を定めておくことが大切であり、その第1歩として連絡体制を整備する。
必要となる万が一の備え
残念ながら、どんなに万全の対策を講じても、個人情報の漏洩事故が発生する可能性がまったくないとは、言い切れないのが現状であろう。したがって、事故が起こることを前提にしたうえで、万一のときに即座に対応できる体制・手順を定めておくことが大切である。
誤解していただきたくないのは、“即座に対応”といっても、発生してしまった事故を隠すための措置を言っているのではないということ。むしろその逆である。起こった事故は、公表することが、適切な対応のポイントになる。
政府の「個人情報の保護に関する基本方針」でも、次のように述べている。
「事業者において、個人情報の漏洩等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係を公表することが重要である」
事実を公表することは、まず、被害拡大を防ぐために欠かせない対応である。混乱を避けるために、ある程度被害状況を確認したうえでの公表もあり得るであろう。
まずは連絡体制づくりから
緊急対応のための体制づくりにあたって、まず重要となるのが、連絡網・連絡体制を整備することである(図表参照)。
連絡は、事故後対応の最初のアクションとなる極めて重要な事項である。連絡網が確立されていなければ、事故後に迅速な対応をとることができない。対応の遅れは、被害拡大の要因ともなる。
さらに、マスコミ対応や本人への謝罪、原因究明などの遅れは、不適切な企業対応であるという印象を抱かせてしまいかねない。
責任者への一報の仕方を明確にする
また、適切な連絡網・連絡体制がつくられていないと、事故等の事実が隠蔽されてしまうおそれが高まる。一部の担当者が故意に報告を怠る場合もあり得るし、故意でなくても対応に追われパニック状態となり、連絡が滞る可能性があるからである。そうした事態に発展しないよう、しっかりとした連絡網・連絡体制を整備することが必要である。
事故等の事実を隠蔽しない体制をつくるためのポイントは、事故等が発生したら、まず、個人情報保護管理者などの責任者に一報できる体制を敷くこと。どのような手段、手順で責任者に一報するのが適切か、社内でよく検討することが大切である。
共同利用先、委託先への連絡も想定する
連絡網・体制を整備するときには、以下のことも忘れずに整備しなければならない。
・土日・休日の連絡も想定する
・グループ会社間、事業部間の連携をどのように行なうかについて検討する
・業務委託先企業も含めた連絡体制を構築する
以上のようなことも含め、取り扱う個人情報の種類および利用の仕方、事業の態様に応じた連絡網・連絡体制を整備すべきであろう。
手順の整備とロールプレイング
緊急対応は、単なる事故処理のためのものではない。本人の被害を最小限にとどめるための措置であり、また再発防止のための取組みでもある。
緊急対応は、緊急対策チームによって対応するのが効果的であろう。的確な調査等を行なうためには、専門的な知識を持つ者の協力が必要だからである。普段から、不測の事態が発生したら、すぐに緊急対策チームを召集できるよう準備を整えておくことが必要である。さらに、役員や社外の弁護士、公認会計士、監査法人などとも速やかに協調体制をとれるよう手順を整えておこう。
緊急対応の流れは、事故の態様によっても異なるが、概ね次のようなアクションになるであろう。
(1) 連絡および緊急対策チームの集合
(2) 被害範囲の確認(現状の把握、影響度合いの予測)
(3) 被害拡大の阻止
(4) 被害者への暫定処置(可能な限りの回復・救済)
(5) 謝罪、被害者に対する事故発生の報告(事故内容、調査開始の旨)、監督官庁、世間一般に対する事故発生の公表
(6) 調査
(7) 原因究明
(8) 改善策の立案・実施(ルール化、体制、運用記録、点検)
(9) 是正措置の解除
(10) 関係者の処分
(11) 最終手続き、被害者への報告、監督官庁、世間一般への公表
以上のような手順を整備しても、いざというときにそのとおり対応できなければ意味はない。ましてや、緊急対応はできるだけ迅速に対応することが肝心である。実際に事故が発生したときに、手順どおり、かつ迅速に対応するためには、手順書にのっとったロールプレイングを実施することが大切である。
繰り返すが、どんなに優れた安全対策も漏洩等を100%防ぐ保証にはならない。リスクを少しでも低減するためにも、万一に備えた実地訓練を行なうべきであろう。
リスクをチャンスに
個人情報保護の取組みは、何のための取組みであろうか?
「個人情報保護法対策である」とお答えになる方も多いかもしれない。
「法律を守るのは当たり前、当たり前のことを目指して高いコストを支払うのはばかげている」とお考えの方がおられるかもしれない。
私たちは、個人情報保護は「お客様の信頼を得るための取組みである」と考えている。個人情報は、お客様そのものと考えると、そのことがしっくりくる。お客様を大事に思えば、その個人情報を預かる立場として管理も必要であるし、無断で利用などできないのではないだろうか。自社がお客様に対してどのような企業でありたいのか。個人情報保護の対策は、企業の姿勢そのものと受け止められるかもしれない。それを前向きに捉えることによって、リスクをチャンスに変えていけることであろう。
著者
當摩 祐子(株式会社シーピーデザインコンサルティング コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター)
2006年9月末現在の法令等に基づいています。
必要となる万が一の備え
残念ながら、どんなに万全の対策を講じても、個人情報の漏洩事故が発生する可能性がまったくないとは、言い切れないのが現状であろう。したがって、事故が起こることを前提にしたうえで、万一のときに即座に対応できる体制・手順を定めておくことが大切である。
誤解していただきたくないのは、“即座に対応”といっても、発生してしまった事故を隠すための措置を言っているのではないということ。むしろその逆である。起こった事故は、公表することが、適切な対応のポイントになる。
政府の「個人情報の保護に関する基本方針」でも、次のように述べている。
「事業者において、個人情報の漏洩等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係を公表することが重要である」
事実を公表することは、まず、被害拡大を防ぐために欠かせない対応である。混乱を避けるために、ある程度被害状況を確認したうえでの公表もあり得るであろう。
まずは連絡体制づくりから
緊急対応のための体制づくりにあたって、まず重要となるのが、連絡網・連絡体制を整備することである(図表参照)。
連絡は、事故後対応の最初のアクションとなる極めて重要な事項である。連絡網が確立されていなければ、事故後に迅速な対応をとることができない。対応の遅れは、被害拡大の要因ともなる。
さらに、マスコミ対応や本人への謝罪、原因究明などの遅れは、不適切な企業対応であるという印象を抱かせてしまいかねない。
責任者への一報の仕方を明確にする
また、適切な連絡網・連絡体制がつくられていないと、事故等の事実が隠蔽されてしまうおそれが高まる。一部の担当者が故意に報告を怠る場合もあり得るし、故意でなくても対応に追われパニック状態となり、連絡が滞る可能性があるからである。そうした事態に発展しないよう、しっかりとした連絡網・連絡体制を整備することが必要である。
事故等の事実を隠蔽しない体制をつくるためのポイントは、事故等が発生したら、まず、個人情報保護管理者などの責任者に一報できる体制を敷くこと。どのような手段、手順で責任者に一報するのが適切か、社内でよく検討することが大切である。
共同利用先、委託先への連絡も想定する
連絡網・体制を整備するときには、以下のことも忘れずに整備しなければならない。
・土日・休日の連絡も想定する
・グループ会社間、事業部間の連携をどのように行なうかについて検討する
・業務委託先企業も含めた連絡体制を構築する
以上のようなことも含め、取り扱う個人情報の種類および利用の仕方、事業の態様に応じた連絡網・連絡体制を整備すべきであろう。
手順の整備とロールプレイング
緊急対応は、単なる事故処理のためのものではない。本人の被害を最小限にとどめるための措置であり、また再発防止のための取組みでもある。
緊急対応は、緊急対策チームによって対応するのが効果的であろう。的確な調査等を行なうためには、専門的な知識を持つ者の協力が必要だからである。普段から、不測の事態が発生したら、すぐに緊急対策チームを召集できるよう準備を整えておくことが必要である。さらに、役員や社外の弁護士、公認会計士、監査法人などとも速やかに協調体制をとれるよう手順を整えておこう。
緊急対応の流れは、事故の態様によっても異なるが、概ね次のようなアクションになるであろう。
(1) 連絡および緊急対策チームの集合
(2) 被害範囲の確認(現状の把握、影響度合いの予測)
(3) 被害拡大の阻止
(4) 被害者への暫定処置(可能な限りの回復・救済)
(5) 謝罪、被害者に対する事故発生の報告(事故内容、調査開始の旨)、監督官庁、世間一般に対する事故発生の公表
(6) 調査
(7) 原因究明
(8) 改善策の立案・実施(ルール化、体制、運用記録、点検)
(9) 是正措置の解除
(10) 関係者の処分
(11) 最終手続き、被害者への報告、監督官庁、世間一般への公表
以上のような手順を整備しても、いざというときにそのとおり対応できなければ意味はない。ましてや、緊急対応はできるだけ迅速に対応することが肝心である。実際に事故が発生したときに、手順どおり、かつ迅速に対応するためには、手順書にのっとったロールプレイングを実施することが大切である。
繰り返すが、どんなに優れた安全対策も漏洩等を100%防ぐ保証にはならない。リスクを少しでも低減するためにも、万一に備えた実地訓練を行なうべきであろう。
リスクをチャンスに
個人情報保護の取組みは、何のための取組みであろうか?
「個人情報保護法対策である」とお答えになる方も多いかもしれない。
「法律を守るのは当たり前、当たり前のことを目指して高いコストを支払うのはばかげている」とお考えの方がおられるかもしれない。
私たちは、個人情報保護は「お客様の信頼を得るための取組みである」と考えている。個人情報は、お客様そのものと考えると、そのことがしっくりくる。お客様を大事に思えば、その個人情報を預かる立場として管理も必要であるし、無断で利用などできないのではないだろうか。自社がお客様に対してどのような企業でありたいのか。個人情報保護の対策は、企業の姿勢そのものと受け止められるかもしれない。それを前向きに捉えることによって、リスクをチャンスに変えていけることであろう。
著者
當摩 祐子(株式会社シーピーデザインコンサルティング コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター)
2006年9月末現在の法令等に基づいています。
