改正個人情報保護法の全面施行(平成29年5月30日)が目前に迫ってまいりました。
今回の改正により、すべての事業者が、個人情報取扱事業者となり、個人情報保護法の適用を受けることとなります。
御社の対応はお済みでしょうか?
「個人情報」となると範囲が大変に広くなります。
メールのアドレス帳(スマートフォンや携帯電話等のアドレス帳も該当します)、社員名簿等々・・・
そう考えていくと、個人情報を扱わない従業員の方が少なく、情報漏えいを防いでいくとなると、全部署、全社員が「どの業務で、どんな情報を、どのように扱っているのか」を、しっかり確認していかなければなりません。
現在、改正個人情報保護法に関してのセミナーをしている中で、ご参加の皆様より「まだ、対応できていない。」「5月30日までにはとても間に合わない。」「何から手を付けてよいかわからない。」等のご相談を受けることが多くなりました。
そのような場合は、以下の手順でご対応くださいとアドバイスさせていただいております。
5/30までに必ずしておかなければならないこと
1.自社の個人情報保護責任者を決める
2.社員教育をする
5/30を過ぎてしまってからでもやらなければいけないこと
3.部署ごとに情報の棚卸をする
4. 「誰が、どの業務で、何のために、その個人情報を保管・利用しているのか」というルール作りをする
5/30までに社員教育をしておくことで施行日以降の情報漏えいリスクを減らし、さらに、「何が個人情報になるのか」を全社員が理解することで部署ごとの棚卸に役立ちます。
また、どのようなものが個人情報になるかわからないという方も多いので先立って社員研修を行うと棚卸がスムーズになります。
個人情報保護ガイドラインでは、近年の情報漏えい事案を背景として、安全管理の強化がもとめられています。ルール作りの際に、ガイドラインに沿った安全管理ができているか確認しておきましょう。
| 組織的安全管理措置 | 個人情報を取扱う担当者の業務内容を明確にし、取扱責任者は個人データの取扱状況を定期的に点検しましょう。 |
| 人的安全管理措置 | 個人データの取扱いに関する留意事項について定期的に教育を実施しましょう。 (取扱担当者/全従業員) |
| 物理的安全管理措置 | 盗難、漏えい対策を実施しましょう。 (紙台帳や電子機器の施錠管理、PCのセキュリティワイヤーでの固定等) |
| 技術的安全管理措置 | 社外からのサイバー攻撃、内部不正への対策を実施しましょう。 (ウイルス対策ソフトの導入、アクセス制御、アクセスログ管理等) |
個人情報の棚卸を行うことで、「目的以外の利用がないか」「必要のない社員も扱えるようになっていないか」を確認できます。
また、不要な個人情報があれば、漏えいのリスクを下げるために、この機会に廃棄しましょう。
全面施行まで、対応にかけられる時間も人員も費用も限られています。
どの情報が漏えいしたらリスクが大きいのかを確認し、リスクの大きいところから対応していきましょう。
