情報管理は基本的な部分で総務の仕事です。情報漏洩対策は大企業などでは情報システム部などが担当するケースが多いと思いますが、中小企業では専門部署の設置は人的資源の問題で難しく総務が担当となっているケースが多いと思います。
これから数回情報管理について触れるつもりですが、どの情報がその会社にとって大切かは企業によって異なると思いますので、自分の企業に合う部分を抽出して読んでいただければありがたいです。
まずは個人情報保護の観点から説明したいと思います。
社内情報管理については、長くなるので詳細を個別に分けてます。以下よろしかったらご覧ください。
「個人情報保護における取引先に対する情報セキュリティチェックシート(コピペしてご自由にお使いください。)」
「Pマークなどに使える!社内情報管理規定の文例|個人情報保護における安全管理~具体的にどうすればいいのか~」
「個人情報」とは何か
個人情報とは、生存する「個人に関する情報」であって、特定の個人を識別することができるものをいいます。具体的には、従業員の氏名、住所、電話番号などは個人情報です。メールアドレスについても、一般社会人を基準に特定個人の識別性があれば個人情報となります。社内にある名刺も個人情報ですし、名刺に記載されている「営業部長」などの役職も識別情報と一緒になっていれば個人情報です。
該当するものとしては、個人情報が記載された社員情報やMEMO類のほか雇用誓約書、給与所得の源泉徴収票、給与明細、給与計算ソフトデータなどがあります。また、健康診断結果や会議での音声や映像記録等も個人情報です。個人情報には、内容により、基本的な個人情報、重要な個人情報、機微な個人情報に区別されます。このうち、重要な個人情報、機微な個人情報については、特に取り扱いに注意が必要です。そして情報の重要性によりその管理方法を変えて適切に管理するのが過剰な管理にならず、現場も混乱せずに済むと思います。
<基本的な個人情報>
□氏名□性別□生年月日□住所□電話番号
□メールアドレス□会社名□付与番号
<重要な個人情報>
[経歴・成績]
□学業・学歴□職業・職歴□地位□資格□成績・評価□賞罰
[経済的属性]
□所得・収入□資産状況□取引状況□口座番号等
[心身情報]
□体格・体力□運動能力□写真・肖像
[生活事項]
□家族状況□親族・続柄□婚姻□居住状況□意見・要望□趣味・嗜好
<機微な個人情報>
□思想、心情及び宗教
□人種、民族、門地、本籍地、身体・精神障害、犯罪歴
□労働者の団結権、団体交渉、その他団体行動の行為に関する事項
□集団示唆行為への参加、請願権の行使、その他政治的権利の行使に関する事項
□保健医療および性生活に関する事項
個人情報を漏えいさせるとどうなるか
①義務規定違反に問われる
これまで、個人情報の漏洩事件を引き起こすと、「企業不祥事」ととらえられてきましたが、個人情報保護法が施行されてから、単なる「企業不祥事」にとどまらず、個人情報保護法の義務規定違反に問われます。主務官庁の命令に従わない場合には、最終的に6ヵ月以下の懲役、または30万円以下の罰金が科せられます。このほかに、民法や刑法に抵触するケースも考えられます。例えば、民法では、不法行為、非財産的損害の賠償、刑法では名誉毀損、窃盗罪、横領罪などに問われる可能性があります。
②企業イメージのダウンは必至
個人情報や機密情報を漏洩させると、企業の信用は一気に失墜します。そうなれば、新規の顧客の確保はむずかしくなります。これまでの顧客の足も遠のき、仕事量は急減していくでしょう。また、社員の士気も下がり、やめていく社員もでてくることが予想されます。企業への脅迫も考えられます。こうなると、個人の問題ではなくなります。ほかに訴訟費用や損害賠償、和解金など金銭的ダメージも加わります。こうして結局、倒産という大きなツケを支払うことを余儀なくされます。「面倒くさい」とか「やることが増えるだけ」という考えを持つこと自体、個人情報の安全管理意識が希薄なことをあらわしています。
安全対策について
では安全対策上どのような ことを実際行えばいいのか、下に図で表してみようと思います。 よく勘違いがあるのが、技術的に対策を行えば全てが防げるという考え方です。全てを防げる技術というものが存在するなら、話は早いのですがそのような技術はなく、あくまで人が使うものである以上、人に対する教育及び指導が必要になってきます。その人をチェックするとか、物をチェックするとかという意味で技術的な対策が 有効というような流れになってきます。
事故対策の流れ
そのような安全対策の考え方をもとに、実際事故が起こった場合どう動けばいいか、どういう流れで誰に何を伝えればいいのか、そうすることで次の事故をどう防ぐかという流れのが下の図になります。
取引先からの要求基準
また 現実的な話として情報管理を求めてくる立場の人というのは、 お客であったり、社会であったり、顧客であったり様々だと思いますが、今回は、以前、私が 取引先から求められた情報処理、安全管理について まとめてみようと思います。これについてはその取引先の企業がどのような安全管理情報管理をしているかによって求めるレベルが大きく異なりますし、内容も業種等によってもまた異なってきます。
まとめ
色々な ことをしなくてはいけないのですが、大切なのは、「情報を持たなければ情報管理の必要がない」という大原則に従い、持つべき情報を見極めて、一人で解決しようとせずに周りの人をうまく協力も求めてチームワークで解決していくのが大切だと思います。
かなり言葉足らずの説明かと思いますので、最後に情報管理でよく聞かれる言葉を用語集として下に求めてますので参考にしてください。
用語集
個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの。他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。
開示対象個人情報
電子計算機を用いて検索することができるように体系的に構成した情報の集合物または一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報。
本人
個人情報によって識別される特定の個人。
個人情報保護管理者
社長によって社内から指名された者であって、PMS(Personal information protection Management System:個人情報保護マネジメントシステム)の実施及び運用に関する責任及び権限をもつ者。
監査責任者
代表者によって社内から指名された者であって、公平、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限をもつ者。
従業者
直接間接に指揮監督を受けて業務に従事している者をいい、雇用する従業員(正社員、嘱託社員、アルバイト、パートタイマー等)、及び取締役、監査役、派遣社員等も含む。
本人の同意
本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示。本人が子どもまたは事理を弁識する能力を欠く者の場合は、法定代理人等の同意も得る。
個人情報保護マネジメントシステム(PMS)
自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム。
不適合
JIS Q 15001及び個人情報保護規程をはじめとするPMS文書の要求を満たしていないこと。
未対策
セキュリティ上の対策が施されていない状態のこと。
重要な情報
個人情報を始めとする機密性の高い情報のこと。
情報資産
業務情報(プログラムも含む)および業務情報を格納する機器類(パソコン、電子媒体、紙等)のこと。
権限
資産を扱うために与えられたもの。セキュリティの基本事項として最小権限というものがあり、権限は可能な限り狭い範囲で与えることが重要となっている。
不正アクセス禁止法
2000年2月に施行された不正アクセス行為の禁止等に関する法律のこと。不正アクセス行為によりコンピュータに障害が発生した場合やデータの破壊が行われた場合には、威力業務妨害罪等の罪の該当する場合がある。
ソーシャルエンジニアリング
ネットワークの技術やコンピュータ技術を用いずに、人間の心理や社会の盲点を突いてパスワード等の機密情報を入手する方法のこと。言葉巧みにパスワードを聞き出したり、廃棄物から重要な情報を読み取るなどがそれにあたる。ソーシャルワーク、ソーシャルハッキングともいう。
インシデント
何らかの問題が発生し、この問題により重大な事故となる可能性がある場合の出来事のこと情報漏えいに関していえば、些細な情報漏えいでも、場合によっては、それが大きな問題(事故)の引き金になる可能性があるということ。