情報セキュリティへの取り組み。
当社はプライバシーマークを、平成18年4月に取得していましたが、プライバシーマーク1999年度版の平成20年度の廃止に伴う2006年度版への移行を実施し、2006年度版のプライバシーマークを問題なく取得することが出来ました。
今回の2006年度版への改訂では、個人情報保護法を取り込んだ形となっており、当社の2006年度版プライバシーマネージメントシステム(以下PMSという)を遵守することにより、個人情報保護法に準拠するようになっています。
また、1999年度版では、情報セキュリティの運用状況をチェックする決まりがありませんでしたが、今回の2006年度版への改訂では、定期的に運用状況をチェックすることが求められています。
これは、ISO9001などのように、PDCAサイクルを活用し、継続的に情報セキュリティの仕組みを強化することが求められているということです。
プライバシーマークは一度取得すると、一生利用できる運転免許制度のようなものではありません。2年に一度の継続審査によって、運用記録の確認による「改善」の結果が評価され、情報セキュリティへの取り組みを怠っていると判断されると、是正勧告を受け、最悪の場合、プライバシーマークを取り消されてしまいます。
運用は従業員全員で行うべきものであり、全員の協力がないと成り立ちません。ですので、更新審査をパスするためにも、従業員全員の参加が不可欠となります。また、従業員全員が取り組むことにより、日常業務の中でも情報セキュリティ事故につながるリスクがる、というとを意識してもらう効果があります。
しかし、これだけ情報セキュリティが社会的通念となっているにも関わらず、情報漏洩事故が後を絶ちません。ここで事故の具体例を取り上げるわけにはいきませんが、ほとんどの場合が、中で働く従業員のちょっとした気の緩みであったり、たぶん大丈夫だろうという危機感の低さからくるものがほとんどです。
これは、企業として、いくら立派な情報セキュリティ保護の仕組みを構築したとしても、実際に運用するのは、中で働く従業員個人であり、各個人が情報セキュリティ保護への意識を持ち、取り組まなければ、立派な仕組みも、まったく意味をなさない、絵に描いた餅になってしまいます。
当社では、PMS文書の作成や、実際の運用について、従業員全員で役割を分担し実施しています。日々の業務の中のどこにリスクが存在するのかを分析し、解決策を検討、PMSを運用することで、セキュリティ事故を未然に防ぐ取り組みを行っています。また、PMSの周知は、セキュリティ教育やミーティング、社内掲示等で継続的に行っています。
社員一人一人が「リスクを認識していない」ことが最大のリスクだと思います。そういった意味でも、プライバシーマーク取得は、日々の業務の中でどこにリスクが存在するのかを把握する、という意味でも、大変有効であると考えています。
おかげさまで、当社は従業員全員の情報セキュリティへの積極的な取り組みによって、情報漏洩事故を起こす事の重大性や、社会的ペナルティーや大きさを十分に理解してもらっています。業務情報は持ち歩かない、やむ終えず持ち歩く場合は暗号化するなど、それがごく当たり前のことのようにセキュリティ対策を実施し行動することが出来ています。
情報セキュリティへの取り組みは、情報システムに関わる企業としての社会的責任であると考えます。