テーマ・部門別

階層別

個人情報保護対策

B!

みなさんこんにちは。8月よりジャイロ総合コンサルティングの講師をしております柴秀雄と申します。今回は、個人情報保護対策についてお話しいたします。

さて、個人情報保護対策といっても「ああ、漏洩防止とかいつもアレでしょ。パスワードかけなさいとかいう話でしょ」という気分になってしまうほど、聞き飽きていらっしゃる方も多いと思います。

だからこそ、私は常々、個人情報保護の研修などをさせていただく際に、最初にこのお話をします。

 

あなたのスマホがなくなったときの話

さあ、ある日あなたの大事なiPhoneがどこかにいってしまいました。職場に置き忘れかな。電車に落としたかな。心あたりをあちこち探しても見つかりません。結局出てこないので、電子マネーなど決済関係の機能は停止して、新しいのを買うはめに。とほほ・・・まあ、ロックが掛かっているし、指紋認証だし、まあいっか。

は? 何言ってんの。自分のことしか考えてないんじゃないの?
なくしたスマホに登録されていた電話番号は?メアドは?友達とか彼氏(彼女)と一緒に撮った写真は?動画は?Lineのトークは?それ全部どうしてくれるの?
「とほほ、まあいっか」で済まされると思っているの?ロックされているからって漏洩されないってどうして断言できるの?漏洩して悪用されたら全額払ってくれるの?
ていうか、なんで今更発覚するの?スマホ変わったねってこっちが気づかなきゃ言わないつもりだったの?隠してたの?

こういうふうに畳みかけますと、受講者の方々、みなさま一様に青ざめます。

そうです。この“緊張感”こそが、個人情報保護対策に一番必要なのです。

今私が申しあげた言葉のひとつひとつは、残念ながら個人情報を漏洩してしまった企業が、お客様などからいただく厳しいお言葉そのものです。

個人情報保護法は、「個人情報取扱事業者」に対して様々な義務を課していますが、一般個人には同様の義務を課していません。ですから、一般個人の方がスマホを紛失しても、個人情報保護法違反を厳しく問われることはありません。

しかし、他人の情報を預かっている者として、それをうっかり失くしてしまうことによるリスクは、事業者であろうが個人であろうが本質的には変わらないのです。個人情報をしっかり守るためには何よりもこの当事者意識からくる緊張感がたいせつです。

 

仕事のメールで添付個人情報を含むファイルを付けるときは、必ずパスワードを付けましょう。

守っていますか?守っていますよね。でも問題はそのパスワードです。会社の略称のアルファベット。このようなものは、もはやパスワードでも何でもありません。頻繁にやり取りが発生する相手方との間では、ついつい気も緩んでしまい、惰性に陥りがちです。しかし、むしろ逆に、頻繁にやり取りする相手だからこそ、お互いにしかわからない「パスワードルール」が取り決められるのです。

お互いしか分からない暗号コードに、お互いしか分からない数字のカウントアップ方法など。これだけでも、先ほどの例から比べると全くセキュリティレベルが違います。

 

外出時に個人情報を持ち出すときは、必ず記録簿に記載して上司の承認をもらいましょう。

これはいかがですか?面倒だけど一応記録していらっしゃいますよね。でも問題は記録につけたその個人情報ではありません。カバンの片隅にうっかり入っている・・そう。そのUSBメモリです。中に何が保存されていますか?半年前のイベント出席者のExcelデータが入っていましたね。はいアウトです。無断の個人情報持ち出しです。

自分自身が忘れてしまっているものは記録のしようがありません。そして、怖いのは、なくしたことにも気づかないということです。日ごろからの点検が必要です。きちんと記録簿を付けているから大丈夫なのではありません。そのカバンの中の個人情報がすべてコントロールされていることが大事なのです。

 

不要になった個人情報は適時適切に廃棄しましょう。

そうですね。不要なものはきちんとシュレッダーしていますよね。でも問題はその頻度です。3週間に1回?シュレッダーが遠い場所にあって面倒だから? あり得ません。オフィス横切るぐらい毎日できるのではないですか?それに足元の段ボール箱にどんどん溜めていますが、それはほとんど放置しているのと同じです。誰かにごっそり盗まれたらどうするのですか?

帰るときには、必ずシュレッダーしてから帰る。その心がけひとつで、リスクが低減します。

 

外部に対して個人情報を漏洩しないようにしましょう。

そのようなことは、十分に分かっていることですよね。それでは、どうして飲み会の席や帰りの電車の中で、同僚の名前や上司の名前を出して、職場のことを大声で話すのでしょうか。同僚や上司の名前は個人情報ではないのですか?個人情報保護法2条1項の個人情報の定義を読み上げましょうか?同僚や上司の名前が、「個人情報」の定義に該当しないという自信はありますか?

油断してはなりません。あなたがどこの会社に勤めているかということは、話の内容などからすぐに周囲に伝わります。そして、軽はずみに社内の事情を大声で話してしまえば、それは社外秘情報の漏洩ですし、そこに個人名が含まれていれば、個人情報の漏洩です。

 

外部から来る標的型のメールに気を付けましょう。

これはとても難しいことです。なぜなら、相手はこちらを攻撃して個人情報を漏洩させるために、巧みにだまそうとしている悪質な人間だからです。細心の注意を払う他に防止手段はありません。特に、休暇明けに大量のメールを読まなくてはならないときは要注意です。普段1件1件のメールにどんなに気をつけていても、100件のメールをいちどきに開けるときは、注意力は1/100になっていると言ってもいいでしょう。こういうときこそ、慎重になりましょう。

 

ふだん、何となく個人情報保護規程を読んで、何となく社内個人情報研修を受けて、何となく上司や先輩から言われた情報管理手続を踏んでいれば、お客様の個人情報が守られるかと言えば、決してそのようなことはありません。

自分は今、何よりも大切な財産を預かっているのだ。いっときも気を緩めることはできないのだ。という心構えで、個人情報保護に取り組む。この緊張感こそが、最大で最善の個人情報保護対策です。

B!