丹波でもこんな大雪は経験が無いくらいらしいです。
昨日はノーマルタイヤ王国の和歌山でも積雪があって
積雪1~3cmで高速道路通行止めとかえらいことになってました。
チェックリスト本日は3つめ
http://www.ppc.go.jp/files/pdf/personal_2810leaf_smallbusinesses.pdf
その3:個人情報を保管する時のルール
取得した個人情報は安全に管理する
「個人情報を安全に管理する」って?
具体的には、
事業所内で個人情報を安全に管理する為のルール作りと、
個人情報を安全に管理できるように設備等を整備する事、
個人情報を取り扱う従業員への教育と監督、
委託先への管理監督が必要です。
管理すべき個人情報というのは、
パソコンの中に入っているデータ上のものだけではなく、
紙の顧客台帳、従業員の履歴書なども対象となります。
例えば、
顧客台帳ファイルを誰でも手の届くところに置くとかではなく、
ちゃんと安全に保管できる鍵のかかる場所に入れるなど
紛失や盗難に対する管理が出来ているかが問われます。
あとは、個人情報に対する意識の問題で、
実際にあった具体例としてはこんな話があります。
ある会社に訪問して受付に行ったら、
訪問日時と会社名と氏名を書くように言われました。
その用紙は一覧表書式になっていて、
既にその会社に来社した人が何名か掲載されていた。
実は結構良くある話なのですが、
これがダメなのです。
受付表自体が個人情報になってしまうので、
そもそもその一覧表形式では、
その後に訪問してきた他の外部の人が
容易に個人情報を見られる状態になっているのでアウトです!
同じ事が、
セミナーや集会・イベントの出席簿にもいえます。
このような事があるので、
従業員に個人情報の教育をしなければならないのです。
実際に過去の個人情報漏えい事件は、
従業員が仕事を家に持ち帰ってやろうと思って、
データをUSBメモリに移して持ち帰る途中で、
それを紛失してしまうとか、盗難に遭うなど。
殆どのケースで従業員の無理解やミスや故意という、
人を介して起こる事なので、
全ての従業員に個人情報に関する教育をする必要があるのです。
パソコンに個人情報が入っている場合は、
パスワードの設定、
ソフトウエアのアップデート、
必ずウイルスセキュリティソフトを入れる等の措置が必須です。
既にフォローの切れたWindows XPのパソコンを使い、
パスワードも掛けずに、セキュリティソフトも入れない。
このようなパソコンで業務している以上、
個人情報に対してのデータの安全管理は、
全くできていないと判定されます。
まあXPの使用とか、
こんなケースは論外なのですが、
実際に未だに見かけた事があるので・・・
物理的な対策としては、
個人情報を取り扱う場所へ
誰もが立ち入れる状況にしない等の入退室状況の制限
また、個人情報や顧客データなどを入れた機材の管理
想定されるケースとしては、
ノートパソコンを比較的安易に持ち去られるような環境では、
ノートパソコンに専用のワイヤ等の盗難防止ツールをかけるなど、
設備的に個人情報を守る対策をしているかが重要になります。
あと「個人情報を正確で最新の内容に保つ義務」とは、
顧客の住所や電話番号が変更になったなどの修正を逐一反映する等の事です。
必要が無くなった時にちゃんとデータを消去する事に努めるなどの
保有データの保全管理に努める事です。
また発送代行など外部の業者へ
業務上個人情報の取り扱いを委託する際は、
いちいち本人に通告する必要はありませんが、
その代わりに委託先に対して、
個人情報の管理や取扱が適切に行われているかなどの、
必要かつ適切な監督を行うようにします。
具体的には、委託業者が
適切に個人情報を取り扱っているかどうかを確認する。
その上で、どのような内容の個人情報かを確定し、
機密が守れる適正な方法での受け渡しを、
いつ誰が誰としているかなどの記録をとる事です。
顧客の氏名、住所などの入ったリストをエクセルで作って、
そのままEメールで添付して送る等は言語道断な行為です。
でもこれの何が悪いのかも判断できない人が多いのが実情なのです。
個人情報の件は、色々な事も含めて、
無理解が一番怖いので、これを機会に、
事業所内で担当者を決めて、個人情報保護法についての
勉強会を従業員全員で実施する事をオススメしています。