個人情報ということではありませんが、日々やりとりするメールについて執筆します。
あくまで私の個人的な感想でもありますので、お気楽に読んでいただければと思います。

メールで一番悩むのは、その仕分け方法です。
特にマイクロソフトに在籍していると、メールの多さに頭を抱えることになります。日に100件以上受信する社員も数多いです。一日の量が多くなくても、日々積み重なると、やはり、それなりに仕分けしたくなります。
しかし、メールの仕訳ルールという Outlook の便利機能はあっても、"それをどのように仕分けするか、仕分け先のフォルダの作り方のコツ"　を教えてくれる情報はなかなかありません。自分なりに考え、勘と経験で仕分けをすることになります。そうすると、人それぞれで仕分けの方法が異なってきます。
他人のパソコンを覗くことなど、ほぼありませんので、他の人がどのようにメールを仕分けしているのか分かりません。

私はどのように仕分けしているのかということを記載していきましょう。
メールは必ず、
 From: (差出人)
 To: (宛先)
 CC/BCC: (同報)
という属性を持っています。この属性の中で、どれを重視するかということで仕分けの方法が変わってきます。
私は、To を重要視しています。そして、この To も何種類かに分かれます。
 a. 自分個人宛
 b. グループ宛(グループには自分も含まれる)
そして、更に以下に分類されます。
 a1. 自分一人にだけ
 a2. 自分を含め複数人
 b1. 特定のグループ (部署や用途)
 b2. 全社員向け、全部署むけなど広いグループ
私は、a. 自分個人宛　の場合、まず、Notice が出るように設定しています。画面に小さなダイアログがでる設定です。同時に赤フラッグの設定もしています。
a1. の場合で、Cc にも誰も含まれない場合 - 自分ひとりだけに届いているメール　を、仕分けで "1st" というフォルダに移動するようにしています。
b1. の場合、そのグループ用のフォルダを作成しておき、そこに移動するように設定しています。
b2. の場合は仕訳けは設定していません。
CC に自分の個人アドレスが含まれている場合、黄フラッグの設定をしています。仕分けは行われません。

以上が、私の仕訳ルールです。言葉で書くと、かなり分かりにくいです。
この仕訳ルールのポリシーは、「誰から来たのかではなく、自分宛に届いたメールは逃さない」 としています。
以前は件名に何かの文字が含まれる場合なども、何らかの仕分けをしていましたが、年々、ルールをシンプル化させ、今に至ります。

To ではなく、From を重要ポイントとして仕分けをしている方も目にすることがあります。フォルダは、人の名前などがずらっと並んでいたりします。

メールは、その場ですぐに返事が出来ればよいのですが、後から返答と思っていると、ついついメールを見失ってしまったりします。メールの量はほどほどに、たまには電話や直接のコミュニケーションも必要ですね。

事務局長 久保田

経済産業省から政策への意見募集がなされています。
IT 業界で進んできている SaaS (Software as a Service) - サース　についてです。
　意見募集中案件詳細

SaaS では、業務データをそのサービスプロバイダーに預託することになります。(もちろん、この中には個人情報も含まれてきます。)
SLA - Serice Level Agreement は、通常、数値管理します。サーバー稼働率などに代表される可用性については、数値管理目標を定めることは比較的簡単です。しかしながら、SLA の中には、従業員の教育・スキルレベルの管理というものも対象となり、数値で管理しにくいような要素も多々にあらわれてきます。

さて、Saas における個人情報の取扱いということで考えてみましょう。
まずは、「個人情報は、何なのか？」ということになります。これは当たり前の話であり、難しい話となります。というのも、氏名、住所、電話番号など個人情報と定義されているものはありますが、では、それをデータベースにしようとした場合、「必要な個人情報は何か？」となると、人により考え方が違ってきます。ビジネスの形態、対象者、利用のされ方によって変わってきますが、それはつまり、データベースを構築するのであれば Basic Set を変更していなかければならないということを意味します。
SaaS を使う場合、その提供されているアプリケーションを変更するのであれば、そのコストを考えると、もしかすると自社で構築したほうが安上がりであるかもしれません。その辺も踏まえて、サービスの利用の検討が必要です。

さて、業種・業態によって個人情報データベースを統一するということは可能でしょうか？
私は、まだまだ難しいと感じています。皆さんの業種ではいかがでしょうか？

事務局長 久保田

英国での事故のニュースです。
Data on 25m benefits claimants lost in post - Telegraph
今朝から弊社内の各国のプライバシー担当で話題になっています。
2500万人分のデータが入った2枚のコンパクトディスクの紛失ということで、英国の全人口の 40-50% に該当するようです。

事務局長　久保田

先日報道されていた事案について、JR 東日本さんからも見解が出ました。
JR東日本：モバイルSuica＞モバイルSuicaを使ったクレジットカード不正利用について

やはり気になるのは、クレジットカード情報の出所です。
本年度においても、クレジットカード情報の漏えい事件が発生しています。それがイコール、今回の事件と関係しているかどうかはわかりません。スキミングや盗難など、他の手段での流出も考えられます。

私自身も、オンライン上の通信販売は良く使います。特に書籍については、某有名サイトのプライム会員(有料のため、使わないと損した気分になる) にもなるぐらい良く使います。そして、クレジットカード決済をしています。クレジットカードを使うとポイントが溜まります。用途によっては、別途カードを作らなければならない場合もあり、あまり使わないカードも持っていたりします。ネットだけではなく、某カメラ店で電化製品を買ったり、マイレージを貯めたり、いろいろなシーンで使っています。

一消費者としても不安に思います。早急な調査結果が望まれます。

事務局長　久保田

マネージメントの仕事において、全体最適と部分最適について考えることを回避することはできません。
私自身は、部分最適に重きを置く現場のエンジニアでのキャリアが長いこともあり、今の業務である社内全体の最適化を考える際には、その狭間で悩むことも多くあります。
もちろん、部分であっても全体であっても、現実的に効率化され、部分であり全体であることが理想ではあります。しかし、現実の実務においては、そうならないので苦しむことになります。

良く言われるのは  "二つのマニュアル" ということではないでしょうか。本部で作ったマニュアルと、現場が持っている(往々にして隠し持っている) マニュアル。本部から監査を受けるときは本部マニュアルを使い、現場での効率性を最大化するために現場のマニュアルを使う。この現場のマニュアルが、管理やリスクマネージメントにおいて問題がないのであれば、それほど深刻ではないでしょう。しかしながら、昨今の企業の不祥事が明るみに出るたびに、上層部と現場の乖離を感じずにはいられません。良かれと思って行ったことが、後々、重大な事故を産み出すこともあります。社内全体の風通しを良くしつつ、現実的なルールを定められるかが重要となります。

IT においては、事あるごとに成熟化が話題になります。そして、そのための多くのフレームワークが提唱されます。それは、もちろん、最適化を求める要求事項でもあります。最適化により、業務効率、利益、コストダウンが最大化し、皆が幸せになるのが理想の姿です。その理想を共有し、協調し、マネージメントできるのがプロフェッショナルな仕事人だと思います。

私がプロフェッショナルになれるのは、まだまだ先のようです。

事務局長　久保田

先日、某ニュース番組にて地域の防災訓練を取り上げていました。地域内の要救護者 (個人) 情報の取り扱いは、数名の民生委員などに限られているため、災害時の救済に時間を要するという内容のものでした。4000 世帯ということで、個人情報 5000 件というバーも越えています。
災害時は、民生委員が自宅保管している名簿を持ち出し、まず、担当救護者の様子を見に行き、人手が必要な場合は、避難場所まで行き人足を募集し、また、その家に戻るという手順を取っていました。
人命救助には必要な情報だが、同時に、犯罪者に渡してはいけない情報でもあるということで、個人情報の取扱いには苦労しているようです。ただ、この地域はかなりしっかり管理しているようで、防災訓練においてはスムーズに事が運んでいるようにも見えました。
ただし、やはりネックになっているのは、個人情報の保管と携帯ということになります。すばやく見たいが、盗まれてはいけない。携帯したいが、紛失できない。非常に重い任務となります。

職業柄、このような状況を IT で解決できないだろうかと思案をすることになります。
いろいろ考えてみましたが、やはり、生体認証付き電子ペーパーが有効ではなかろうかと結論付けました。
単体で稼働し、軽く、秘匿性やアクセス権が確保できること。可能であれば、中央のサーバーの司令か何か (電波など) でリアルタイムに内容変更が可能。電源も極小ですみ、長時間の稼働が可能なこと。
Moblie 端末も考えてみましたが、まだ、画面が小さいのと電源の持ちが良くないことを考慮すると、紙と同等の形状、重さが望ましいです。できれば、4つ折りとかにできるといいです。

最新の電子ペーパーの技術がどの程度のものか分らないのですが、近未来において実現されることを期待します。

今、NHK 教育で放送されている 「電脳コイル」というアニメでは、眼鏡が PC となっている近未来を描いています。(年甲斐もなくアニメとか見ちゃってますが、結構面白いです) そんな未来は、もうすぐなのかも知れません。

事務局長　久保田

財団法人 日本情報処理開発協会 (JIPDEC) より、プライバシーマーク制度の一部改正の案内が発表されました。

認定の一時停止の導入と「プライバシーマーク制度設置及び運営要領」の改正について

欠格レベルを細分化し、"一時停止" 処分を加えてものとなります。詳細は上記の JIPDEC ホームページをご参照いただければと思います。

一時停止とは、どのようなことになるかと言うと、以下のように記載されていました。

①　認定の証であるプライバシーマークは、一時停止期間中においては名刺、パンフレット、Webサイト、広告媒体、その他、当該事業者の活動に関して使用を中止する。

②　当該事業者のあらゆる活動において、認定されていることを表明することはできない。

③　交付しているプライバシーマーク使用許諾証、プライバシーマークの電子データを返還する。

名刺などの紙物を利用しなくするということは、実際問題、かなり大変なこととなります。
弊社でも名刺にプライバシーマークを印刷していますので、もし処分を受けると、名刺を印刷しなおすか、マークの部分にシールを貼るかする必要が出てきます。膨大なコストとなります。
それ以上に、かなり恥ずかしい思いをします。(特に営業部門では)

改めて注意喚起が必要です。

事務局長 久保田

IRM とは、Information Rights Management の略となります。
弊社の中では、ごく当り前に利用しているため、ついつい皆知っているものと思いがちなのですが、最近、他社の方々とお話しする機会などもあり、まだまだ説明が足りていないなと感じています。

弊社の製品ページに説明があります。
Office ファイルの機密情報へのアクセスを制限する - ヘルプと使い方 - Microsoft Office Online

ただ、なかなか文字では分かりにくいかもしれません。
私の認識をざっくりと記載すると、「IRM とは、社内サーバーに接続し、且つ、あらかじめ設定されたユーザーのみがアクセスできるようにする仕組みであり、ファイル単位で設定が可能なもの。」となります。

マイクロソフトの場合、以下のグループ設定も用意して利用しています。


この IRM は、2 Factor 認証に近いものであり、社内サーバーに接続できること + アクセス権があること の二つが条件となっており、どちらか一方が欠けるとアクセスができません。

これは、個人情報の取扱いにおいても、やはり同様の考え方が必要です。従業者であること +　個人情報を取り扱う人間であること　の 2 つを必要条件とすることにより、アクセス権が、より適切になります。

いずれにせよ、どのようなアクセス権においてもメンテナンスが大切です。特に従業者が辞めた時や、業務内容が変わった時など、メンテナンスを怠らない仕組みが必要です。


事務局長　久保田