個人情報保護は、立派な方針を掲げただけでは機能しません。日々の業務の中で実際に運用される「仕組み」に落とし込み、全従業者が同じ考え方で動けてはじめて、お預かりした情報を守ることができます。本記事では、FIXIT が個人情報保護のために実際に取り組み、その結果として整えてきた体制を、できるだけ具体的にご紹介します。個人情報保護の基本的な考え方そのものは 個人情報保護への取り組み 〜FIXIT が大切にしていること〜 でまとめています。
結論 — 「方針」を「日々回る仕組み」にした
先に結論からお伝えします。私たちが成果と考えているのは、派手な数字ではなく、個人情報保護が実際に回る体制として整ったことです。方針を文書にするだけでなく、教育・管理ルール・報告経路・点検と改善のそれぞれを、文書と日々の運用の両面でかたちにしてきました。
取り組みと、その結果として整えた仕組みを整理すると次のとおりです。
| 取り組んだこと | 結果として整えた仕組み |
|---|---|
| 全従業者で学ぶ | 教育を実施し、理解度を確認する仕組みを定着させた |
| 情報の流れを管理する | 取得・利用・保管・提供・委託・廃棄を一貫して扱うルールを整えた |
| 事故にそなえる | 漏えいやその恐れを速やかに報告できる経路を責任者まで定義した |
| 続けて、よくする | 定期的に点検し、改善を重ねる運用(PDCA)に組み込んだ |
全従業者で学び、理解度を確認する
個人情報保護は、一部の担当者だけが詳しければ成り立つものではありません。社員からアルバイトまで、個人情報に関わる一人ひとりが同じ考え方を持つことが欠かせません。
そこで FIXIT では、全従業者を対象にした教育を実施し、学んだ内容の理解度を確認する仕組みを設けました。個人情報の基本的な取扱いルール、関連する法令の概要、事故が起きたときの対応などを共通の土台として学び、理解できているかをそのつど確かめます。新しく加わったメンバーにも、業務を始める前に同じ基礎を共有します。
要点
教育は「一度やって終わり」にしないことを大切にしています。定期的に繰り返し、理解度を確認することで、知識を実際の行動につなげていきます。
取得から廃棄まで、情報の流れを一貫して管理する
個人情報は、取得してから不要になって廃棄するまで、いくつもの段階を通ります。どこか一か所でも管理が抜けると、そこがリスクになります。そこで、情報の流れ全体を通して扱うルールを整えました。
| 段階 | 整えたルールの要点 |
|---|---|
| 取得 | 利用目的をはっきり定め、その範囲で取得する |
| 利用 | 定めた目的の範囲内でのみ利用する |
| 保管 | 権限のある人だけが扱えるようにし、施錠や画面ロックを徹底する |
| 提供 | 本人同意や法令に基づく場合などを除き、第三者に提供しない |
| 委託 | 委託先を適切に選び、任せきりにせず監督する |
| 廃棄 | 定めた期間の経過後、復元できない方法で確実に廃棄する |
とくに見落とされがちなのが、委託と廃棄です。外部のサービスや業者に取扱いを任せても、私たちの責任がなくなるわけではありません。委託先を基準に沿って選び、適切に取り扱われているかを確認します。また、不要になった情報を「とりあえず保管し続ける」のではなく、定めた期間が過ぎたら確実に廃棄するところまでをルールに含めています。
事故にそなえ、すぐ報告できる経路をつくる
どれだけ注意していても、ヒューマンエラーや想定外の事態をゼロにはできません。だからこそ、万一に備える仕組みを用意しています。
漏えいやその恐れに気づいたとき、最初にとるべき行動は、自分で抱え込むことでも様子を見ることでもなく、速やかに定められた窓口や責任者へ報告することです。早い報告が被害の拡大を防ぎます。FIXIT では、誰に・どの経路で報告するかをあらかじめ定義し、全従業者が迷わず動けるようにしています。
注意
事故対応で最も避けたいのは「気づいたのに報告が遅れる」ことです。隠さず、ためらわず、すぐに報告する。これを全従業者の共通認識にしています。
点検と改善を繰り返す(PDCA)
整えた仕組みは、作った時点が完成ではありません。実際に運用してみると、現場の実態に合っていない部分や、より良くできる点が見えてきます。
FIXIT では、個人情報保護の取り組みを、計画・実施・点検・改善(PDCA)のサイクルに組み込んでいます。定期的に運用を点検し、気づいた点をルールや手順に反映する。これを繰り返すことで、仕組みは現実の業務に合った、無理なく続けられるものになっていきます。これは個人情報保護マネジメントシステム(PMS)の基本的な考え方そのものでもあります。
補足
ルールは現実の業務に合っていてこそ守られます。点検で見つかった「守りにくい部分」は、責める対象ではなく、仕組みを改善する手がかりとして扱います。
これからについて
FIXIT は現在、個人情報保護とセキュリティの取り組みをさらに確かなものにするため、プライバシーマークおよび ISMS の認証取得に向けて準備を進めています。認証はゴールではなく、ここまで整えてきた仕組みを継続して運用し、改善し続けるための 1 つの節目だと考えています。
むすび
個人情報保護の取り組みで本当に大切なのは、立派なルールを作ることそのものよりも、それが日々の業務の中で当たり前に回り続けることです。FIXIT はこれからも、整えた仕組みを全従業者で運用し、点検と改善を重ねながら、お客様に安心してご利用いただける会社であり続けられるよう取り組んでまいります。