fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークと個人情報保護法の関係をわかりやすく解説


テレビや新聞のニュースに接していると、1週間のうちに少なくとも1回は機密情報漏洩の不祥事が伝えられています。

意外にも高名な企業や自治体など、どうしてそのような問題が起こってしまうのか不思議に思われますが、個人情報のような重要な機密情報を不注意により、あるいは第三者の悪意によって簡単に流出してしまうというトラブルを起こしています。

こうしたニュースは、こういう不祥事があった、という事例として記憶され、やがては忘れ去られてしまいますが、当該企業や自治体の事後処理および信頼を回復するまでに費やされる努力は、およそ筆舌に尽くし難いものです。

インターネットを利用した通販は、サービスの提供者もその消費者も、便利に買い物ができる反面、こうした顧客の機密情報を漏洩させてしまう危機と隣り合わせになっています。

これはこうした情報がほぼ例外なく電子データとして扱われているためです。国際的にもこうした動向にあわせ法整備が薦められ、日本でも平成15年に個人情報保護法が成立しました。そして企業や自治体も、顧客からの信頼度を高めるためにはもはやこの問題を軽視することができなくなりました。

今日ではプライバシーマークの取得をしていないと、企業はビジネスのチャンスすら逸してしまうことになりかねません。そこでこうした法律と企業の努力、すなわちPマーク取得に向けてどのような取り組みがなされているかを中心に、以下概観します。

Pマークとはなにか

インターネットと物流の発達により、企業はビジネスを拡大し、消費者もまた物品やサービスの購入を便利かつ簡単に行なえるようになっていますが、これは様々な顧客情報などが電子データとして取り扱われているようになっているからです。

しかし便利な反面、こうした情報は取り扱う企業の側の認識不足、不注意、教育の不十分さによって簡単に漏洩させてしまう危険性を持っています。

またそうした情報を盗み取ろうという悪意ある第三者が企業のデータベースなどに不正アクセスを試みることもあります。

個人情報をはじめとする機密情報を取り扱うのにこれで良いという万全な手法はありません。

コンピュータのテクノロジーは日進月歩していて、状況は常にめまぐるしく変わっているからです。こうした事情が、往々にして機密情報は注意して管理している、というような企業の精神論を許すことになります。

今日ではこうした杜撰な企業の問題意識の有り様から消費者を守るため、個人情報保護法が施行され、消費者も注意を喚起しています。

そして企業は、これで万全であるというノウハウが存在しないからこそ、JISQ15001に代表されるような規範に準拠し、対策を検討し、そしてその取り組みが客観的に正しいということを第三者に承認してもらう、という努力を払っています。

そしてこの努力が実った時に、Pマークの認証が得られ、例えば企業の公式サイトなどにその事実を公表して、顧客の信頼度を確保します。

客観的に正しい取り組みとはなにか?

電子データによる機密情報の取り扱いにこれで万全であるというノウハウがないのに、それをどうして客観的に正しい取り組みをしている、という判断ができるのでしょうか。

これは非常に重要な意味を持っています。情報漏洩を防ぐ万全のノウハウがないという事実は、常に問題意識を持ち、情報収集に努め、試行錯誤し、ルールの作成や見直しを重ね、新たな脅威と向かいあっているという体質そのものが問われることになります。

こうした問題に取り組むには、PDCAという手法が最も理にかなっています。これは種として製造業が品質や生産性の向上のために行なってきた手法です。

まず問題点が浮かび上がった時に、それに対しどういう対策をとるかを検討して計画(Plan)を立案します。そして計画に則って対策を講じて(Do)いきます。次のステップは評価(Check)であり、期待する効果が得られたかどうかを確認します。

そしてこの対策が有効であると認められた場合には、新たなルールとして、あるいは従来のルールを改訂し、水平展開を行ない、正式に実行します。こうした対応は、おもに企業の内部のプロジェクトチームによって行なわれます。

このプロジェクトチームは普通、企業のトップがこの問題に置いて全権委任し、その責任者に率いられた集団という形で活動します。

企業のトップから全権委任されているという事実は、普段の業務と同等の、あるいはそれ以上の重要な業務として全社的に認識され、優先されます。

利害の一致をみない第三者からの評価

顧客情報の漏洩という最悪の事態を回避するため、こうした取り組みは、常に客観的に正しい方法をとらなければなりません。

Pマークに意味があるのは、その取り組みが正しいかどうかを判断する者が、当該企業との利害の一致をみない、第三者によって行なわれるということです。

したがって業界ルールとか、社内基準という、考えようによってはいかようにも甘くなってしまうルールを排し、客観的に評価されるということになります。そのためPマークは簡単に取得できる性質の認証ではありません。

先述のプロジェクトチームが発足したら、そのメンバーは常に情報をアップデートするための勉強を欠かさず、書籍やセミナーなどで知識を更新します。そしてそのインプットは、社内教育という形で展開され、一般従業員もその重要性を認識して常に正しい行動をとることが求められます。

そのための土台は社内の公式な文書としてルールが制定され、そのルールも常に見直しと改善が義務づけられています。

この規範を逸脱すると、消費者からの信頼が崩壊し、ビジネスのチャンスを逃し、最悪の場合は企業として存続できなくなってしまいます。しかしこうした取り組みを行なうのは、決して易しいことではありません。

しかも企業内外に起きてくる新しい脅威に対し、どんな時にも100%正しいという方法をとらねばならないからです。そしてそれができなければ、これまでの努力は水泡に帰してしまいます。

こうした背景から、企業は自主的な努力を傾注するだけではなく、外部の専門家とコンサルティング契約を結び、ルール作りから文書の作成と蓄積、社内教育のノウハウ、そして認証取得ための審査にも明るいプロフェッショナルを迎えるのが普通です。

当然契約料は高額ですが、短期間に認証取得にまでこぎ着けるためには、こうしたプライバシーマーク取得支援サービスを受けるのが、特に中小企業の場合は必須です。

専門の部署を設け、選任者を指名し、この問題にあたることを専業としているメンバーを得るのは、中小企業ではほぼ不可能です。

中にはこうした取り組み自体は利益を生み出す者ではなく、仕方がないからやらざるを得ないのだ、と言い出すトップさえいます。

しかしこれまで述べてきた通り、高度情報化社会の中で企業がビジネスチャンスを逃さずに、顧客の信頼を得て、企業が存続し続けるためには、仕方がないからやらざるを得ないのだではなく、そうすることが生命線であるという正しい認識を持つべきなのです。

情報漏洩という最悪の事態を回避し、常に正しい方法で問題に対処しているというのは、その取り組みが企業の体質にまで昇華していないと成し遂げられないことなのです。

自主努力だけではなく、プライバシーマーク取得支援サービスなどの専門家からの助言を受け、膨大な時間とコストをかけるに値する事業なのです。

一刻も早くこの選択を取り入れた企業が消費者の信頼を勝ち得、生き残って行くのだとしても過言ではありません。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る