個人情報管理のデザイン

今回は、本年3月まで約2年間担当していた個人情報管理にフォーカスしてお話をしたいと思います。

JISQ15001:2006版への移行

私が管理担当となったのは2007年の初め。個人情報管理の国内規格であるJISQ15001が現行の2006版へ改訂されて間もなく、というタイミングでした。当社のプライバシーマーク取得は2003年。2回目の更新審査が間近にせまっており、2006版への社内ルール適合が急務でした。更新審査は無事に終了しましたが、規格で要求された内容をきっちりマニュアルへ盛り込むために、いったん煩雑な社内手順をまとめることになりました。

当社では、個人情報を取り扱う担当がWeb制作案件ごとに異なるため、煩雑な手順はかえって管理ミスを誘発するリスクとなります。一方で、個人情報管理自体に多くの社内リソースを割くわけにもいきません。そういった条件下で、かなりボリュームアップした規格への適合を果たしていかなければなりませんでした。

3つのキーワード

審査を終えた後、より実効的なルールを目指して、このふくらんだ社内手順をスリム化する検討を始めました。その作業にあたり、私はキーワードを立てて臨むことにしました。管理体制の理想的なデザインをイメージしやすくする狙いです。キーワードは順に、「軽量化」、「ライフサイクル」、そして「主張しすぎないこと」。

「軽量化」は前段でお話しした通り、シンプルな手順で管理するという意味です。Web案件を管理する担当者にとって煩雑さが解消され、かつお客様視点で見れば契約にいたるまでの工程を単純化することができます。また、統括する管理事務局側にとっても、より多くの件数を的確に処理できるメリットが生じます。定型的な枠組みができれば、例外への対処も容易になります。

「ライフサイクル」はお預かりする個人情報を取得、移動、利用、保管、返却（削除）など、リスクが発生する工程単位で管理を行なうことを指しています。

そして、「主張しすぎないこと」。これは社内へのルール周知に向けた個人的な心構えでした。管理事務局が旗を振るだけでは堅牢な体制は実現できません。社員による積極的なコミットこそ管理体制のカナメでしょう。そこで、新たに整備したルールがどのように社内浸透していくか。個人情報管理は短期的なキャンペーンではありませんので、インパクトを重視したアピールや強制力のある施策より、じわじわと浸透していく周知方法のほうが、より実効性があると考えました。

具体的に実施した対策です。

• 社内メルマガを通じて、社内ルールの紹介や法律改正の要約、事故の事例などを定期配信する。
• 個人情報取り扱いの多い部門に対して個別研修を実施。基本的なルールからおさらいする。
• 案件個別のヒアリングや運用状況の点検を通したルール説明。

これ以外にも、セーフティと冷静さをイメージして研修資料は青を基調にするなど、一見地味な活動をあえて続けました。どれも即座に効果が期待できるものはありません。しばらくは種まきの時期が続くだろうと認識していました。

効果の一端

しかし、先日全社的に行った棚卸（社員からのお預かり状況の自己申告）について、積極的な報告が相次ぎました。これまでは未提出者へのフォローなど管理事務局からの働きかけが必要だったのですが、社内での意識の高まりが実感できる、ポジティブな結果と理解しています。

私はこの4月に本業務からは離れていますが、これまで取り組んだ活動が少しずつ効果を生んでいることに一定の満足を覚えているところです。引き続きスリムかつ堅牢な個人情報管理体制が推進されることを期待しています。