情報セキュリティのマネジメント 第3回|機密文書(廃棄/処理)なら抹消仕事人

情報セキュリティのマネジメント 第3回

情報セキュリティを賢くマネジメントする方法

第3回 マネジメントとしての個人情報管理(プライバシーマークの要求事項)

個人情報を守るためには、社内に色々な規則(規程、手順書)を作成して、やらなければならないこと、やってはいけないことを決めることが必要になります。

プライバシーマークでは、これらをマネジメントシステムとして運用しなさいと要求します。これは「決めた」だけではマンネリ化してしまい当初の主旨が段々薄れていくという組織の習性を打破するために、Plan、Do、Check、Actionのサイクルを組み込み、継続的に改善するということをやりなさいと言うことです。

これはISOのマネジメントシステム規格が採用しているのと同じ内容で、最初に決めたこと(Plan)を、社員教育を行って運用(Do)し、定期的に監査(Check)して、見直し(Action)を行うというものです。このサイクルが完成していないと審査を受けることができません。

こう書くと、やたらと面倒と感じるかもしれませんが、重要なポイントは、これを普通のこととして通常業務に役立てることです。皆様の会社で、営業の売上目標をつくり、実際に営業を行って、達成度を評価して、見直しを行っていくのと同じと考えれば分かり易いでしょう。この時、目標設定を部門や個人に設定させていくことで(当然承認が伴います)、組織力の強化に繋がります。

是非、こういった視点で個人情報管理をご検討ください。

 
 
図1
【執筆者プロフィール】
株式会社サイバービジネス
代表取締役 戸田浩二氏

三菱電機系のシステム会社で約10年システムエンジニアを担当。監査法人トーマツで業務改善のコンサルタントに従事。BPR事務局を担当。1997年よりサイバービジネス代表として業務系(システム、ISO、Pマーク、内部統制等)コンサルティングを行っている。


本件コラムは当社が毎月1回発行している会員向け情報紙「わくわく仕事人通信」に掲載されたものです。このコーナーでは、過去に掲載されたコラムの中から、情報セキュリティやリスクマネジメント、機密文書管理等に関連するコラムを厳選してお届けいたします。