皆様、こんにちは。

世間では未だファイル共有ソフト(Winny など) での情報漏えいが相次いでいます。特に (高度な) 暗号化がなされていない状態でのファイル流出においては、2次流出、3次流出してしまうと、もう被害の拡散は止められません。
「 2 次利用による悪用は行われていない」 と発表されることがありますが、データはインターネットの中を彷徨い続ける訳ですので、簡単に終結宣言は出せません。

コンピュータの利用拡大に伴い、使う側の成熟度も増していく必要がありますし、コンピュータ自体にも事故を未然に防ぐ機能が追加されていくことが必要です。

インターネットは、よく車社会と比較されることがあります。
車の道路がインターネット網、交通量が Web サイトのトラフィック量(アクセス数)、道の検索とインターネット検索 などなど、実社会と似ている面も多くあります。しかしながら、決定的に違うのは、車の運転には免許が必要ですが、インターネット(もしくはコンピュータ) の利用には免許がありません。そのため、インターネットについて正しく学習するという機会がほとんど無いというのが実際ではないでしょうか。ここ何年かで小中学校でもコンピュータを利用した授業(しらべ学習等)が行われるようになってきました。場面場面を通じて、また成長の度合いに合わせて適切に学んでいけることは重要だと思います。私はそのような教育は受けてきませんでしたが。。

さて、情報漏えいに話を戻します。
漏えいを防ぐ手立ては大きく二つに分けられます。"技術的に防ぐ方法" と "規則で禁止する方法" です。
技術的な方法は、各社いろいろなものを出しています。もちろん、有効なものもたくさんあります。
一方、"規則" については、最終的にはその人の倫理観に頼らざるを得ないのが現実です。いくら規則を厳しくし、罰則を定め、犯人特定のための手段を設けても、悪意のあるユーザーがいると打ち破られることがあります。
しかし、規則を設け、教育を施すということは、やはり有効な手段であることには変わりありません。しかも、社会のモラルということも含め、子供のころから正しい教育をするということは大切でしょう。
企業におけるモラルは、やはり、その企業のトップに依存することが多いと思われます。
厳しい規則を設けるのではなく、トップ自らが公約し、実践することが、何よりの社員教育となると思います。

[参考情報]
情報サービス事業者１社に対する個人情報保護法に基づく報告徴収について

事務局長 久保田

皆様、こんにちは。

昨日は参院選がありました。私も午前中に投票所に行きました。夕方、ものすごい雷雨となったので早めに行っておいてよかったです。
私が住んでいるところは、少々、変わったところで、2 県 1 都の境目のようなところです。最寄り駅自体は東京都のため、近辺の候補者ボードは都のものです。しかし、私は県民ですので、そのボードは関係ありません。そして、駅前に演説に来られる候補者やパンフレット配布の方も都の方ばかりだったような気がします。でも各駅停車の駅ですので、そもそも、候補者の方もほとんど来ていませんでしたが。。
というわけで、候補者についての情報収集は必然的にインターネットとなります。
しかし、日本においてはインターネット上での選挙活動は公職選挙法違反になるとのこともあり、あまり芳しい情報は得られません。悩ましいです。

ここ数年、選挙のたびにインターネット選挙・投票ということも話題になるようになりました。
投票自体が早くインターネットでできるようにならないかと思っています。ネット経由に対する安全性、ソーシャルセキュリティの問題(なりすまし等)、インフラ整備など課題はまだまだあります。IT の成熟度がもっと高くなっていかなければなりませんね。


事務局長　久保田

皆様、こんにちは。
東京は暑い日が続いていますね。北海道出身の私としては、この環境はなかなか慣れません。

さて、少々前ですが、７月上旬に Visio 内部統制文書化ツールが公開されました。
(詳細は Microsoft Office : Microsoft Office Visio 内部統制文書化ツール をご参照ください)
個人情報に関する業務は、まさに内部統制そのものと言ってもいいものです。そこで、早速、このツールを使って業務プロセスの改訂を行っています。

社内のことですので、すべてはお見せすることはできないのですが、簡易版に書き直しているものをここで紹介します。

個人情報の取り扱いで必須項目となるのは、一般的には以下となります。

1. 個人情報の棚卸し
2. 個人情報の特定手順の確立
3. 個人情報を取り扱う者の制御
4. 個人情報管理台帳の作成
5. プロセスの策定、可視化
6. 運用状況の把握、監査

マイクロソフト社内においては、これらすべてを一度に達成するために社内ツールを使っています。もちろん IT 化しています。といっても、特殊なインフラ構築をしているわけではなく、Sharepoint Server をベースに少々使い勝手良いように変更させている程度です。
ツールを使う = 業務プロセスとなっている つまり、手順書を見ながら（もしくは丸暗記して）ということなく、無理なく業務を行えるように工夫しています。
この社内ツールは、PII Control System (PIICS) と呼んでいます。こちらのページにも記載していますので、ご一読を。

さて、一から順にツールを使うだけですのでマニュアルなんて不要と思われがちですが、内部統制を正しく実現するためには可視化された業務プロセスと定め、それに則って業務が行われていることが重要です。

こちらの図を見ていただければわかると思うのですが、アクションごとに上長の承認が必要になっています。PIICS ツール上で操作をすると、上長に対し電子メールで通知がなされます。上長は、その通知を受け取り、メール内に記載されているリンクをクリックし中身を確認し、承諾をします。もちろん、承諾した日付などは証拠としてサーバーに格納されます。
よくありがちな業務フローですが、口頭で済ませるのではなく、かならず証拠が残る方法、しかも改ざんできない証拠の保存をするという機能も果たしています。個人情報の取扱いに関しては、事後承認ということが絶対にないようにしています。
このプロセスで保管された取扱記録が、そのまま、個人情報の棚卸しをした結果 = 個人情報管理台帳となっています。
台帳があれば、個人情報の特定も容易です。
また、各種レポート機能を利用して、それをもとに社内監査も行うことができます。
そして、一番いいのはペーパーレスであるということです。大量な書類は、環境にもよろしくありませんし、保管するのにも手間です。

Visio 内部統制文書化ツールの良いところは、この Visio Flow Chart を、Word 文書にエクスポートできることです。

この機能を使うと、↓こんな感じで Word 文書ができあがります。
 
これに対して少々書き直しをすれば、立派な業務プロセス文書の完成です。

製品紹介みたいになっていますが、個人情報の実担当者である私が使っても便利と感じますので、業務プロセスの構築に関わる方は、ぜひこのツールを使っていただければと思います。

事務局長　久保田
(企業の方で、マイクロソフトの社内ツールを見てみたいという方がいらっしゃいましたら、コールセンターまでご連絡下さい。)

皆様、こんにちは。

ただいま、事務局ではプライバシーマーク申請の準備を行っています。
期限が切れる 3 か月前に申請をしなければならず、しかも、その際に必要書類を全て揃えておく必要があります。
この必要な書類は、社内で利用している各種規則類も含みます。社内で利用しているものは、既に存在しますので、プリントアウトするだけで済むのですが、それ以外にも、会社の登記簿を法務省に行ってもらってきたり、申請書のために代表者に印鑑をもらいに行ったり、それらすべてのプリントアウトをバインダーに収めたり、インデックスを作ったりと、かなりな事務作業ではあり、労力が要ります。
すべて完成すると、重さ 5-6kg にはなるんじゃないでしょうか。正直、重いです。

詳しくは、JIPDEC の案内を見ていただければ、ご理解いただけると思います。
プライバシーマーク制度 - 更新申請方法

プライバシーマークを新規取得しようと思った場合、だいたい 6 ～ 8 か月必要と言われています。
今回のマイクロソフトの申請は更新申請ですので、そこまでの時間はかからないのですが、JIS Q 15001 が 1999 から 2006 バージョンの改訂がありましたので、その対応を少しずつ行ってきました。コツコツと日頃から業務を続けることが肝要です。

申請後、書類審査、実監査と、まだまだ落ち着く日がありません。
同じような境遇の方は分かっていただけますよね？

事務局長　久保田

マイクロソフト株式会社 (以降、マイクロソフトとします) では個人情報保護に積極的に取り組むために、全社的な体制を整備しています。
(私が所属する) 個人情報保護に特化したチームと、それぞれの部門に属しながら兼任で業務に当たる社員たちと、大きく二つに分類されます。

世間で良く聞くのは、

1. Privacy Mark 取得のために特命担当(もしくはチーム) を設ける
2. 個人情報保護は法務部が兼任する
3. 個人情報保護は IT 部門が兼任する
4. 各部門から担当者を選出し、委員会を設置する

といった体制整備です。

マイクロソフトでは、上述の 1. と 4. を組み合わせた形をとりつつ、法務部と IT 部門と密接に関わりながら業務を進めるようにしています。同時に教育は人事部、監査は管理部門、外部対応はカスタマー部門との連携をしています。
そのため、個人情報保護のスペシャリストでありつつ、社内のジェネラリストであるという立場です。

各部門から担当者を選出する意味は、やはり、実務とかけ離れたポリシーや動きとなることを避けるために、実務を理解し、適切な運用を心掛けるためです。
マイクロソフトは社員 2000人を超え、複数の拠点に跨って業務を行うようになっており、どうしても直接わからない業務も存在します。効率良く、業務を把握し、実態に活かすため、他にも工夫している点はありますので、またの機会に記載したいと思います。

社内体制は以下に公開しています。
社内事例　マイクロソフトにおける個人情報保護マネージメントシステムの実践 : マイクロソフト株式会社の取り組み

事務局長　久保田

この度、Windows Live Spaces にてブログを始めることとなりました。
ブログの名前の通り、個人情報保護に関する事をメインテーマとして続けていく所存ですが、テーマがテーマだけに堅苦しくなってしまうかもしれません。どうかご容赦を。

通常は専ら社内業務のため、お客様やパートナー様の皆様とは接する機会がない裏方の仕事です。
この場を通して、コミュニケーションをとることができることを願っています。

事務局長 　久保田