対象:ITコンサルティング
回答数: 4件
回答数: 5件
回答数: 6件
お願いします。
個人情報保護法が4/1から施行されましたが、
顧客情報の一覧表がエクセルで作成してあり、
色々な営業担当者が必要なので同じ一覧表をデータとして
個々に持ってます。本来これはまずいのでしょうね。
では、保護法で言うところの管理とは実際の会社という、
現場ではどう管理すればいいのでしょうか?
大雑把で申し訳ありませんがご指導ください。
以上
k19さん ( 新潟県 / 男性 / 47歳 )
回答:4件
すぐ行うべき対応、本格的対応、対外的対応
ウィズクラインコンサルティングというITコンサルティング企業を経営している大川です。
情報漏えいの問題は身近な問題であり、一方で時には会社に壊滅的な打撃を与えるだけにしっかり対処することが大切です。しかし、あまり厳密すぎると実際の業務の遂行に影響を与えるため悩ましい問題でもあります。
■すぐできる対応
まず、即効的な策としては、お使いになっているEXCELファイルにロックをかける、あるいはノートPCに
ハードウェアロックをかけるなりするのが、すぐできることです。
■本格的対応
次に会社としてきちんと対応をとることを考えるとすると以下のようにするのがよいでしょう。
1)そもそも貴社における個人情報とはなにかを定義する。
2)今誰がどのように扱っているかを調べる。
3)それが漏えいするのはどのような状況かを分析する。
4)れぞれの仕事のシーンで本当に持ち歩く必要があるのか、あるいは、どうすれば、持ち歩かなくて仕事ができるのかを検討する。
5)どうしても持ち歩く必要がある場合、どのような対策をとればよいか考える。
・誰が持ち歩くのかを限定する。
・持ち歩く情報を限定する。
・持ち歩く媒体を限定する。
・持ち歩く媒体にロックをかける、暗号化する。
などが考えられると思います。
最終的には、会社として個人情報はじめ機密情報の扱いについて、
・ガイドラインをつくる。
・個人情報保護のための責任者をつくる。
・社内ルールが守られているかをチェックする。
など会社の仕組みとして用意しておく必要があります。
■対外的対応
また、顧客など外部に対して、会社としての信頼性を上げるためには、「プライバシーマーク」
あるいは、「ISMS(情報セキュリティマネジメントシステム)」など、権威のある認定を受けるのがよいと思います。これには、コストと、労力がかかりますが、会社としての信頼度は確実に高まります。
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
個人情報の保護について
ひけしやの佐藤と申します。
よろしくお願いします。
ご質問は顧客情報の一覧表データの取扱について、会社現場で管理方法等についての内容でしたが、個人情報を保護する取組みというのは、一度、全社的に考えられる事をお勧めします。
個人情報を守る場合には、設備的な対策(例えばノートPCを施錠されたロッカーにしまう等)と技術的な対策(暗号化ソフトによる対策や対ウィルスソフトの利用)も大事ですが、昨今の個人情報の漏洩の大半は、従業員による人為的な事が原因で発生しています。
そういう観点から考えると、会社として大事な情報をどの様に守るのかを、総体的に検討してから対策を考える必要があります。
目の前の事を見て、刹那的な対策を講じても、結果として現場でチグハグな決まり事が出来てしまいますので、効果的な対策は講じる事は出来ません。
また、情報を守る際に見落としかちになる事でもありますが、個人情報についてもお仕事で利用する情報ですから、「情報の機密性」のみを考えて、「使いやすさ」や「正確性」という観点から対策を講じる事も大事な事です。
以上となりますが、少しでもご参考にして頂ければ幸いです。
ご不明な点などございましたら、遠慮なくご相談下さい。
ひけしやISOコンサルティングポータルサイト
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
岡本 興一
ITコンサルタント
-
リスクアセスメントと扱いを決める必用があります。
個人情報保護は、企業にとって面倒でありながらも、きちんと行わねばならない問題ですね。
まず、扱っておられる個人情報にどんな種類があるのかをリストアップします。
個人を特定できる全ての情報が対象になります。
帳票、データ、いずれの形で個人情報が記載(入力)されているものを探します。
次に、その情報が電子化されているかどうかで、拡散性を判定します。
一概には言えませんが、紙のデータでしかなければ、拡散性が低いです。
電子化されていると、一気に拡散する可能性があり、被害を拡大させる恐れがあります。
次に、漏洩する可能性を考えます。
どんなルートで情報が漏洩する可能性があるのか?
そのルートをピックアップしていきます。
また、それぞれのルートで、被害が発生する可能性を査定します。
さらに、情報漏洩が発生した場合の損害金額を検討します。
これらを考慮した上で、情報漏洩対策として何ができるか?何をしなくてはならないのか?を考えます。
システムを追加することで対応できる場合もありますし、運用方法を変えるだけでよい場合もあるでしょう。
さらに、対策にかかる費用を算出し、総合的に見て採用しなくてはならない対策、金額があわない対策が出てくるはずです。
こうした事をきんとやっていくことを「リスクアセスメント」と言います。
こうしたアセスメントを行わないまま、具体的な対策だけになってしまうと、実効性の乏しいものや、コストにあわないものにならないことが多くあります。
少し面倒かと思いますが、基本に忠実に近づくことこそが、近道です。
まずは、リスクアセスメントを実施いただき、調整いただければと思います。
ご参考になれば幸いです。
集客につながるホームページ
ネットとセキュリティ〜ウィジット株式会社
岡本興一
村本 睦戸
ITコンサルタント
-
自社で検討するのがよくわからない場合
こんにちは。ホロデックスの村本と申します。
最近、よく小売店様から中小企業様まで話題としてお聞きします。
すでに、他の専門家の方が対応に関して、詳しく回答があるかと思いますので、
それ以外の情報として、わたしがご提供するネタをご参考までに・・・・
損害保険会社やセキュリティソリューション会社がコラボれーションした
サービスや保険がここ最近充実してきています。
もし、面倒くさかったら、そのような"個人情報漏洩対策損害保険"を扱っている
事例をお持ちの企業様にご相談されることとも、ひとつの手段かもしれません。
k19さん
メールアドレスは当てはまりますか?
2009/04/13 12:52再度質問です。
営業担当者のノートパソコンやディスクトップパソコンに入っているメールアドレス帳は個人情報に該当しますか?
アドレス帳には
1:氏名 2:メールアドレス
だけで登録されています。個人を特定といわれればそれまでですが、実際の運用ではメールアドレスも適応するのでしょうか?
お願いします。
k19さん (新潟県/47歳/男性)
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング