概要
2005年に施行された個人情報保護法が2020年に2度目の法改正が行われ、2年以内に施行される予定です。一方で、個人情報の漏えいや不適切な利用等の事件や事故が後を絶ちません。
ほとんどの企業や組織は個人情報を取り扱う「個人情報取扱事業者」であり、個人情報を適正に管理し、取り扱う義務があります。これに反した場合は行政処分や罰則が科せられます。さらに、個人情報の漏えい等に伴う賠償金の負担や報道等によるイメージダウン等の結果、企業としての信頼を失い、経営に大きな打撃を与える可能性もあります。
また、社会環境やビジネス環境の変化、個人情報やプライバシーに対する意識の変化、情報技術の進展や適用の拡大、等の理由から、企業や組織での個人情報の取り扱いのルールや仕組みが陳腐化してしまい、今や十分な機能を果たしていない可能性もあります。
今後は3年ごとに個人情報保護法が改正されていきます。その内容は事業者にとって厳しくなっていく傾向にあります。企業や組織も同じサイクルで、管理負担を考慮した見直しが必要となります。
デルタエッジコンサルタントは個人情報保護法や各種ガイドラインへの準拠状況を含む、現状の個人情報の管理状況を確認、評価した上で、改善案についての検討、構築、実施を支援します 。
サービス内容
個人情報保護対策の実施イメージは、以下の通りです。
1.現状調査
現時点の組織内における個人情報の棚卸を行い、入手経路や保有箇所等を明確にします。特定した個人情報については保有項目、利用目的、取得方法、利用者、管理体制、安全管理措置等について確認します。また、組織内の個人情報保護に対する考え方や周知状況、外部委託先の有無と監督状況、現状及び今後の個人情報活用、等についても確認します。
2.リスク分析
「1.現状調査」の結果に基づき、個人情報保護法やガイドライン等とのかい離状況や安全管理措置における脆弱性等を評価します。その上で、改善ポイントや優先度について検討します。
3.ポリシー等の策定
まず、組織における個人情報取扱の基本方針であるポリシーを策定します。ポリシーは簡潔かつ明確な内容とすることで、組織内外の様々な人々が理解し易い内容とすることが重要です。さらに、個人情報取扱事業者が果たすべき義務を網羅した、共通的な基準となる基本規程を策定します。
4.対応施策の検討
リスク分析結果と策定したポリシーや基本規程とを照合し、保有する個人情報と関連する業務プロセス・情報システムに対して制度対応に向けた施策を検討します。対応施策については個人情報取扱に対する手順や安全管理措置の整備ばかりでなく、対象とする個人情報を継続して保有すべきか、複数の個人情報の統合化、といった内容についても検討します。
また、組織内の共通事項としての建屋や情報システム等における安全管理措置、従業員に対する啓蒙や教育、外部委託業者に対する要求事項なども検討します。
5.個別施策の実施
「4.対応施策の検討」を、個人情報を管理する各部門等に連携し、各部門等で具体的な手順書等の策定、顧客に提示する申し込み書等の改訂、情報システムの修正、等を実施します。また、全体を取り纏めるチーム(PMO)では個々の施策の進捗状況を都度確認し、相互に整合性を確保する様活動します。
