『個人情報』・・・一言でくくれば簡単ですが、結局何が個人情報なんでしょうか?
個人情報保護法にはこうあります
第一章 第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(首相官邸HP)
まぁ法律らしくあいまいな表現ですが、こういうときは具体的に考えてみましょう。
具体的に考えれば氏名・生年月日・住所・血液型、その他基礎年金番号のような公的番号、TSUTAYAの会員番号、JUGEMのログインIDとパスワードだって個人情報でしょう。
更に細かく考えれば、浦和サポやサザンファンである事を示すこのブログのログやなんかも個人情報にあたるし、mixiのあしあとなんかも個人情報にあたってしまいます。他にもいろんなのがあがってくるでしょう。人が生きるときにはいろんな所に知らず知らずのうちに痕跡を残してしまうものですから。
それらを保護する事を押し付けられてしまった我々日本人。おいおい、意識してなかったけどいろんな個人情報を持ってそうだぞ、俺たちってば。漏らしたら大変なことになるぞ。どうしよう。でもどうしたらいいかわかんないぞ。あたふたあたふた・・・。
結構こんな感じじゃないですか?
ここはいっそ落ち着きましょう。どうせ全部守れやしません(笑)。
でもこれは真理ですよ。「リスクは減らせるがゼロにはならない」。
じゃあリスクを減らす方を考えるにしても、いったいどこまでやるのかは社長の腹積もり一つです。だって個人情報保護⇔営業活動な関係が成り立ついことが多いですからね。
例えばPCのアクセス権。アクセス権を限定すればするほど、そのアクセス権者が休んだりした日にゃ仕事に支障をきたします。社内立ち入り制限を強化すればするほど、お客さんなんて怒って来てくれなくなります。
だから会社としてどこまでやるかの線引きが重要になるわけです。もちろん目標を高く置くのは大切ではありますけどね。じゃあ、その線をどこに引くか。それをまず決めなくては話になりません。
そのためにはまず、社内にある個人情報を洗い出しましょう。いったいどこにどんな個人情報があるのか?それを整理して把握する事が第一段階です。
とはいえ、社内にある個人情報は大別して3種類しかありません、多分。多分ですよ(笑)。
それは、
1.顧客に関する個人情報(顧客の顧客の個人情報も含む)
2.顧客の担当者に関する個人情報
3.社員に関する個人情報
です。こう考えてみるとなんとなく気が楽になりませんか?実体が見えてくるとやる気もちょっとは出てくるっていうもんです。いきなり大群を相手にむやみやたらに戦うのと、少数に分類して攻めるのとではそりゃ印象違いますよね。
あとはこの大分類から細分化していくのみ。ある程度具体化しましょう。「台帳」に「顧客名簿」とか、「ファイルサーバ」に「名簿原稿」とか、「事務PC」に「給与明細」とか。ほら、結構見えてきたでしょ。出来れば多めに書き出して、誰かと議論しながら削っていくといいと思います。そんなに難しく考えないで、思いつくものをありのままに書き出したらいいですよ。いろんな立場の方3人ぐらいと責任ある立場の方でこの作業をすれば、結構思いつきます。人生いろいろって訳です。
そして、守る順番・優先順位を決めていきます。よくPDCAとか言いますが、そのP(プラン)を決めているわけです。その守る順番決めはやっぱり責任ある立場の方の監修の下に行なわれるのがいいですね。だって順番を間違えたら意味ないですからね。
続きはまた!(いったいいつのことだ・・・)