個人情報の目的外利用を防ぐ難しさ
先日、NTT西日本に総務省から業務改善命令が出されました。
ニュース等で既知の人も多いと思います。
電気通信事業者法の業務改善命令と、個人情報保護法の書面による厳重注意です。
個人情報の面ですと、今回のNTT西日本は「目的外利用」をしてしまったということのようです。
プライバシーマークでも代表的なリスクの1つに「目的外利用」が挙げられています。
企業として目的外利用を防ぐため、つまり「個人情報はその取得(同意)した目的のみに利用する」ことを徹底するにはどのようにしたら良いのでしょうか?
「教育する」「全従業員へ周知する」という事が考えられますが、これが徹底するのがなかなか難しいです。
ISMSも同様ですが、情報セキュリティを行う上で一番難しいのが全員への意識の浸透です。
今回のNTT西日本の件も、おそらく現場の社員の方は目的外利用をしていることを認識していなかったと思いますが、企業レベルで個人情報の取り扱いについて徹底するためには全従業員の認識を高めるために教育は必要だと思います。
PCの使い方のようにある程度はシステム的に制御できるところは良いのですが、それ以外のところでどのように統制をとっていくのかが難しいのです。
ケースによっては、個人情報が記された紙自体に「○○の目的以外の使用禁止」と記載している場合もあります。
上記の仕方ですと「利用しようとする時に、目に飛び込んで来てしまう」ので非常に有効です。
会社ごとで、または利用シーンごとで有効な方法は異なってくると思いますが目的外利用を防ぐ手段をそれぞれ真剣に考える良い契機になればと思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
最近は更新対応が増えています
最近は、Pマークの更新の依頼をよく頂きます。
取得してから運用をして、その運用内容等を審査で確認する更新審査ですが
やはり2年間の間に色々と変化があります。
規格(JIS Q 15001)自体は変化はないのですが
審査基準のようなものが少しずつ変わってきています。
もちろん前回と審査員が違ういうのもあると思いますが
全体的な傾向としても変化はあります。
企業側からすると「2年前OKで、今年はダメなの?」と思うかもしれませんが
情報セキュリティは時代とともに変わります。リスクも変化しています。
そういった「今の」状態にあったマネジメントシステムへの変更や
最新Tipsのようなものを伝える事が更新コンサルの時は多いです。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから