人気blogランキングへ
←クリックプリーズ(みなさんの愛の手を)
日経のITplusに(今のところ)2回に分けてPマーク(プライバシーマーク)について記事があがっています。テーマは『検証 864万件の個人情報流出(1)』で、第1回が『「Pマーク」への期待と現実』、第2回が『「取得ありき」になりがちなPマーク』です。
個人情報保護法制定から2年経ったのですが、未だに個人情報流出が止まりません。その最大の事件が大日本印刷で起こった約864万件の情報漏洩です。この事件について、記事は検証を行っています。
(1)のほうに
-------- 引用開始 --------
そもそもPマークはどこまで信頼されていたのであろうか。広告業界やIT業界などでは、取引先に対してPマークの取得を義務付けるケースが多くあるが、これは決して「Pマークを取得していれば絶対に安全」というところまで期待しているわけではない。個人情報の適正な扱いについて「一応の対策をとっている」という保証を得ることを期待している企業がほとんどだと思われる。-------- 引用終了 --------そういったこともあり、実のところ、今回の事件に対して関係業界からは大きな失望の声は聞こえてこない。逆に言うとそこまで大きな期待をしていなかったという冷ややかな見方が大勢である。JIPDECによると事件後のPマーク認証申請の動きに大きな変化はないという。
Pマーク自体は「機密保持レベルの保証」ではなく、個人情報に関する「マネジメントシステムが確立していることを保証」するような内容になっている。つまり、機密保持に関する企業としての方針が確立していることをチェックすることを主体にした制度になっているのである。
例えば、内部社員の犯罪も含めて個人情報の漏えいを防ぐためには「メールによるデータ伝送の禁止」「パソコンの外部記憶媒体の接続禁止」などのシステムを使った具体的な対策が必要と思われるが、このような対策をどこまでとるかは基本的には企業独自の判断に任されている。
この考え方自体は間違っておらず、数千件の個人情報しか管理していない企業に、それなりのシステム投資がかかる対策を取らせることは費用対効果の観点から無理があるのは確かである。
今回の事件の一般への反響を考えてみると、個人情報を提供する立場の一般の人々がPマーク認証を持っている企業に抱く期待は「機密保持レベルの保証」であると思われる。つまり一般の人々がPマークという認証に抱く期待と実際の制度にはギャップがある。
とあります。Pマークは赤字で示してあるように、「個人情報に関するマネジメントシステムが確立している」ことを保証しているんですね。個人情報の扱い方をマニュアルなどで決めており、このようにして個人情報を管理していますよと言うことです。ここには情報が漏れないことの保証は全くありません。
個人情報の扱いにおける認証制度は3つあります。
・ISMS/ISO27001
・プライバシーマーク
・TRUSTe
ですね。(2)のページに、これらの違いをわかりやすく比較した表があります。
-------- 引用開始 --------
-------- 引用終了 --------(http://it.nikkei.co.jp/security/news/index.aspx?n=MMITce000028052007より引用)<caption>
主要な認証の比較</caption>ISMS/ISO27001 プライバシーマーク TRUSTe 保護する情報 情報資産全般(個人情報も含む) 個人情報 個人情報 取得範囲 全社又は部門単位、事業所単位の取得が可能 全社が基本 Webサイト メリットのある企業 BtoBの企業 BtoCの企業 BtoCの企業 普及状況 150カ国(ISO加盟国・2005年6月現在) 国内のみ 米国など世界27カ国 認定事業者数 国内2190社(2007年5月25日現在) 7554社(2007年5月23日現在) 国内738サイト(2007年3月31日現在) 基準発行 JSA(日本規格協会) JIPDEC(日本情報処理開発協会) OECD(プライバシー8原則) 認定機関 JIPDEC JIPDEC 有限責任中間法人日本プライバシー認証機構 審査 JIPDECと認定審査機関 認定審査機関 認定審査機関企業 審査費用 100万〜300万円(事業者の規模による) 30万〜120万円(事業者の規模による) 20万円〜50万円(認定審査機関企業による) 取得までの期間の目安 8カ月〜 6カ月〜 2カ月〜 取得後の審査 3年毎の更新審査 と1年に1回、もしくは2回の維持審査 2年毎の更新審査 3ヶ月に一度のオンライン審査、苦情対応プログラム
記事の最後に
-------- 引用開始 --------
ただ、やはりPマークで気になる点は、取得することだけに関心がいきやすく、その後の運用がおろそかになりやすい点である。少なくとも、運用がきちんと出来ていない企業に対しては早急に改善させるか、Pマークを取り消すなどの対策がとれるようにすることが、Pマークの信頼を上げるためには必要と思われる。-------- 引用終了 --------
とあります。中小企業の場合、Pマークに限らずISO9600とかISO14000なども、「取得することが主目的」である企業が多いんです。継続することが一番重要なんですが、経営者にとっては「取得する」ことが一番になっているんです。で、継続審査に入られて大慌てする。
Pマークも継続審査というチェック機能が必要でしょう。
でも、一番大切なことは従業員にその重要性=Pマークを取得することの意義を理解させ、常に意識させることなんじゃないでしょうか。それが、個人情報の取り扱い方法を遵守させる第一歩だと思います。つまり、トラブルを発生させるのも抑制するのも、「従業員のモラル」に集約するんです。また従業員のモラル維持・向上は、経営者の態度が非常に重要です。
ということは「全社一丸」となることです。
なんか精神論ぽくなってしまいました。でも「顧客満足」を得るためには「従業員満足」を充実させていくことも重要なファクターです。従業員満足の第一歩は、従業員が納得して仕事をすることができることなんだと思います。そこで手を抜いていたら、いくら小手先の改善を行っても効果が現れないんです。
まあ、従業員満足については、1人いた従業員に逃げられた??私はあまり人のことを言えないんですけどね。反省しつつ、これを書いています。
