個人情報の目的外利用を防ぐ難しさ
先日、NTT西日本に総務省から業務改善命令が出されました。
ニュース等で既知の人も多いと思います。
電気通信事業者法の業務改善命令と、個人情報保護法の書面による厳重注意です。
個人情報の面ですと、今回のNTT西日本は「目的外利用」をしてしまったということのようです。
プライバシーマークでも代表的なリスクの1つに「目的外利用」が挙げられています。
企業として目的外利用を防ぐため、つまり「個人情報はその取得(同意)した目的のみに利用する」ことを徹底するにはどのようにしたら良いのでしょうか?
「教育する」「全従業員へ周知する」という事が考えられますが、これが徹底するのがなかなか難しいです。
ISMSも同様ですが、情報セキュリティを行う上で一番難しいのが全員への意識の浸透です。
今回のNTT西日本の件も、おそらく現場の社員の方は目的外利用をしていることを認識していなかったと思いますが、企業レベルで個人情報の取り扱いについて徹底するためには全従業員の認識を高めるために教育は必要だと思います。
PCの使い方のようにある程度はシステム的に制御できるところは良いのですが、それ以外のところでどのように統制をとっていくのかが難しいのです。
ケースによっては、個人情報が記された紙自体に「○○の目的以外の使用禁止」と記載している場合もあります。
上記の仕方ですと「利用しようとする時に、目に飛び込んで来てしまう」ので非常に有効です。
会社ごとで、または利用シーンごとで有効な方法は異なってくると思いますが目的外利用を防ぐ手段をそれぞれ真剣に考える良い契機になればと思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
生命保険会社からの個人情報漏えい
Pマーク取得コンサルタントの幸松です。
最近、生命保険会社での個人情報漏えい事件がちょっと続いておりますが
アリコジャパンでは、実際に情報漏えいがあった人にはお詫び金として1万円ずつ
漏洩がしていない人には3000円ずつを支払うとの事です。
総額として5億円とのことです。
改めて個人情報漏洩事件の会社へ与えるインパクトの
大きさを再確認させられる事例ですね。
また、かんぽ生命保険からもWinny経由で個人情報が
流出したようです。
システムを委託していた会社の私物PCからの漏えいのようです。
生命保険会社は、非常に重要でプライバシー性が高い個人情報を扱っていますので
今回の事件を契機としてより一層、適切な個人情報の取扱いをしてほしいですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから