個人情報保護研修のヒント
意識が薄れやすい個人情報保護研修
「個人情報保護法」が施行された前後、ほとんどの企業でなんらかの研修を実施したのではないでしょうか。
企業や団体に勤めている人だけでなく、全国民が個人情報保護法の当事者になるのですから当然のことでしょう。
施行から数年経っていますが、2回目以降の研修をしているところは少ないと思います。それだけ優先順位は低く、あまり意識されることがありません。
”何ごと”もなければ問題が発生することもありませんので、どうしても意識が薄れがちですが、これこそがリスクをはらんでいるのです。
やらされ感の強い研修
個人情報保護研修は”やらされ感の強い研修”の上位にランキングされるでしょう。できれば受講したくないというのが本音だと思います。
残念なことですが当事者意識をもって研修に臨む人は多くありません。「俺には関係ないし」、「私が漏えいするわけないでしょ」、「なんかよくわからない」等々。
自分とは無縁のことだと思いこんでいる人が多いのです。研修を実施する際には、いかに興味をもってもらうかに注力しなければなりません。
個人情報関連の自社のリスクを明確にする
個人情報の漏えい事故などが発生したとき、後追いの対応になると工数が膨大に膨れ上がります。企業や組織として、漏えいリスクがどれだけあるのか明確にしておかなければなりません。
事前にリスクを明確にしておけば、対応策もおのずと準備できるものです。あなたの会社や組織で重要性の高いものを研修の中に取り入れましょう。
保護すべき”個人情報”の定義
”個人情報保護法”と略して呼ばれることが多いですが、正式には「個人情報保護に関する法律」といいます。
その第2条に”個人情報”は次のように書かれています。
『この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。』
たとえば”大阪市 内須さん”という情報があっても、大阪は人口も多いですからどの”内須さん”かを特定することは困難です。この情報に勤務先とが入ってくると、どの内須さんかを特定しやすくなり、”個人情報の範囲”に含まれてくると判断した方がいいでしょう。
”t-uchisu@niceberg.co.jp”左記のようなメールアドレスだと、「ナイスバーグという会社の内須さんだろう」と個人をある程度、特定できます。
”example@●mail.com”というようなメールアドレスは本人を特定することは難しいです。しかし、メールアドレスがわかれば、無差別に広告などスパムメールの標的にされる可能性が高く、個人情報として管理されるべきです。
漏えいリスク 個人情報を把握できていない
過去からの積み重ねで、個人情報が社内のあちこちに存在している可能性があります。紙ベースだけでなく、デジタルデータとしてサーバーやパソコン、CD-ROMなど外部記録媒体にもあるでしょう。
個人情報の存在を把握できていない場合、大きなリスクになります。パソコンのハードディスクに個人情報を残したまま廃棄してしまう可能性もあります。
本人は気づいていなくても、前任者が残していることも考えられます。まず個人情報の存在を明らかにすることが第一歩です。
漏えいリスク 携帯電話
業務で携帯電話を使用する機会は多いものです。特に営業の場合は欠かせないアイテムです。
携帯電話の中には取引先担当者の携帯電話番号も含まれているでしょう。
研修で啓蒙する内容としては、不要な電話番号は入れない、ロック機能を使う、ネックストラップなどを使い紛失を防ぐ、登録している個人情報がわかるようにしておく等があります。
紛失・盗難時に遠隔操作でデータ消去できるサービスなども検討するといいでしょう。
漏えいリスク USBメモリ
記憶容量の増えたメモリの価格も安くなったため、何万件という個人情報でも手のひらに入るようになりました。
小さくて便利なことが、紛失リスクを高めています。会社でやり残した仕事を家に持ち帰る際にUSBメモリーを利用している人もいるでしょう。
会社としての”取り決め”がないため、コントロールできていない可能性があります。情報の社内持ちだしの可否、持つ出す際のルール等を先に決めておく必要があります。
決めたことを研修会で徹底しましょう。
漏えいリスク 盗難
「車上荒らしに遭った」、「空き巣に入られた」、「トイレで置き引きされた」等々。
自分たちが気をつけていても、盗み出そうとする人がいること認識しておきましょう。盗まれる可能性のあるところに個人情報は置かないことです。
持ち歩きが避けられない場合は、肌身はなさず管理するようにするべきです。
ほとんどの社員の人は盗難に遭うことなど想像もしていないはずです。事例を紹介するなど、研修の中で危機意識を高めるようにしましょう。
漏えいリスク メール
メールを送信する際、宛先設定を”To”、”Cc”、”Bcc”の3つから選択します。
通常のメール(1対1)ですと気にすることもなく”To”ですが、複数の相手に送信する際は”Cc”や”Bcc”を使うこともあります。
この違いを理解していない人が意外といるので、研修の中で徹底する必要があります。
”Bcc”に設定すれば、受信者は他に誰が受信者なのかはわかりません。
この設定を間違えて”Cc”で送ってしまうと、受信者同士のメールアドレスがすべて見えてしまいます。
社外へメールを送る際は十分に注意する必要があることを啓蒙しましょう。
Ccはカーボンコピー、Bccはブラインドカーボンコピーの略ですが、カーボンコピーそのものの意味がわかれば、理解もしやすくなります。
漏えいリスク アンケート収集
営業活動や販促イベントの中で、お客さまからアンケートを集めようとすることがあります。
営業担当としては、来場してくれたりイベントに参加してくれたお客さまの情報を集めたい気持ちから、安易にアンケートを作成する傾向があります。
アンケートを集めること自体は営業活動として大切なことです。しかし、”何のために集め、どう活用するのか”を具体的にイメージできないのであれば、アンケートはとらない方がいいでしょう。
個人情報保護法第18条に次のように書かれています。
、『個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、
その利用目的を、本人に通知し、又は公表しなければならない。 』
アンケート用紙に必ず”利用目的”を明記するか、名字だけを記入してもらう、イニシャルで書いてもらうなど、”個人情報”に該当しないようにするなどの対応が必要です。
営業の人はあまり知らないことなので、研修では必ず伝えるべき項目です。
個人情報保護に関する覚書
『個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。』
個人情報保護法の第22条に記載されている”委託先の監督”に関する条文です。
ビジネスの中では個人情報を取引先へ委託して業務を代行してもらうケースがよくあります。個人情報を委託する際には、委託先の監督責任が委託元に発生するのです。
そのために『個人情報保護に関する覚書』を取り交わして、委託先へ管理体制整備を求めたり、管理状況の報告を受けたりできるようにしています。
おそらくあなたの会社にも覚書があるでしょう。しかし、内容を理解している人はおそらく少ないはずです。
万一、事故が発生した場合、覚書に記載されたことを要求されてきます。当然、会社として書面を交わすわけですから「実行できません」とは言えません。
一度、数年ぶりに覚書を見直す必要があるのではないでしょうか。
個人情報保護の必要性を伝える
「もし自分の個人情報が流失したらどうなるか」ということを研修で考えてもらうと、多少関心をもちやすくなります。
資産運用の勧誘、不動産の購入、先物取引の案内等々。電話がひっきりなしにかかってくるかもしれません。
電話で営業するとき、相手の情報がわかっていればそれだけ成功確率が高まります。
ですからリストに対するニーズがあるのです。
個人情報の内容が濃いほどに価値は高まります。
名簿やリストを売買する業者が存在するので、そこに売ろうとする人も現れてきます。
だから、個人情報漏えいのリスクが発生するのです。
このような事実を理解してもらえば、研修の内容も身につきやすくなります。