コンサルタントコラム

個人情報保護法の現状と従業員の管理

役職名
災害リスク部 コンサルタント
執筆者名
古池 祥蔵 Shouzou Koike

2005年4月1日に個人情報保護法が完全施行となり数ヶ月経過する今でも、法対応が完了している企業は少ないと推察される。

個人情報管理における企業対応の傾向としては、まず大企業において、法の必要要件となる社内体制・社内規程の整備、具体的な対策の実行等社内管理体制の構築が概ね完了した段階であり、今後、漏洩事故対応体制の整備、およびグループ子会社、委託先企業等の関係会社に対する指導・徹底に注力されるものと推察される。

中堅・中小企業においては、プライバシーポリシーの策定・公表、問い合わせ窓口の設置等の表面的な対応は完了した段階であるが、詳細な社内ルール、具体的な対策等については、どこまで対応すべきか思案している段階の企業が多いものと推察される。

また、別の傾向として大企業から委託先に対して、細かくかつ厳しい個人情報体制に関する要望事項が出され始めており、それを受けて大企業から業務受託している中堅・中小企業においても大企業と同等レベルの対策を講じる必要性が出てきている。

一方、個人情報の漏洩事故も変わらず頻発しており、特に、従業員の過失・不正等による事故が多発している傾向がある。
これは、各企業の従業員が個人情報保護の重要性を十分に認識していないことが一つの要因となっていると思われる。

企業での個人情報保護法への対応は、金融・医療等の特定の業界やブランドの高い企業を除けば、社内の法務・総務・システム等の直接個人情報管理に深く関係している部門では慎重に行われているものの、営業部門等の従業員は管理意識が低い傾向にあり、各企業はこれらの従業員への管理・教育に頭を悩ませている。

ここでは、従業員の管理を適正に実施する方策について紹介したい。従業員の認識不足による情報漏洩事故を抑止するためには、指導、監督、牽制の3つの側面で従業員の管理を行うことが有効である。具体的には、(1)社内で保有する個人情報の種類とその重要性、個人情報漏洩事故の内容とその影響、事故防止のための対策となることを周知する、(2)ルールの遵守状況についての監査を行い、不備等については経営からの指示で厳しく改善を求める、(3)就業規則等により従業員が不正行為により個人情報を漏洩させた場合は会社として厳しく対応するという姿勢を明確にする、等により徹底を図ることが重要である。

また、最近、個人情報保護法改正案の検討が始まり、その中で不正に個人情報を第三者に提供した従業員個人に対する罰則の検討が始まった。従って、今後は、事業者のみならず業務に従事する従業員個人に対しても罰則が課されることになり、これまで個人情報保護法に対する意識が低かった従業員も意識せざるを得なくなることが予想される。

今後、各企業において個人情報漏洩事故が発生するかどうか、および発生後に厳しく責任追及を受けるかどうかの境目は、各企業が個人情報保護管理体制の整備がなされており、その体制が全従業員に徹底されているかによるところが大きく、その対応が不十分な企業で漏洩事故が発生した場合は、責任追及の声が厳しくなり、大きな信用低下を招くことは必至である。

以上

氏名
古池 祥蔵 Shouzou Koike
役職
災害リスク部 コンサルタント
専門領域
情報セキュリティ、個人情報保護、盗難対策
実績
情報セキュリティ・個人情報保護・盗難分野におけるリスク分析・評価、現場調査及び改善提案、社内規程等各種基準の作成等社内管理体制構築コンサルティング
執筆
「実践リスクマネジメント~事例に学ぶ企業リスクのすべて~」(共著 経済法令研究会)
「企業の個人情報保護対策」(月刊総務寄稿)
講演
「企業における情報セキュリティリスク」(三井業際研究所)
「ビジネスを取り巻く情報セキュリティリスクとその対応」(三井住友海上)
「個人情報保護関連セミナー」(三井住友海上、神奈川経済同友会、各地商工会議所)