Discipline and indiscipline

主に札幌ではたらく株式会社恵和ビジネス代表取締役社長のblogです。

平成17年度の個人情報の取扱いにおける事故報告にみる傾向と注意点

で取り上げられていたのですが、7月10日にJIPDECが「平成17年度の個人情報の取扱いにおける事故報告にみる傾向と注意点」という文書を公開してます。個人情報にからむ事故については、プライバシーマーク取得事業者だけではなく申請検討中の企業についても報告を行なうよう呼びかけている(個人情報の取扱いにおける事故等の報告について)こともあって、まだ取得していない企業のデータも含まれています。
事故の内容は「誤配送等(誤配送、誤封入、誤送付、印刷ミス等)」で七割強を占めています。おいおいおい、これって当社が得意としている業務の部分じゃないですか。まいったな。
それに対して盗難などが原因の事故が少ないこと少ないこと。JIPDECに事故報告をする企業というのはプライバシーマークを既に取得している企業、取得申請中の企業、取得を検討している企業のいずれかですから、個人情報にからむ事故対策として何かしらのことはやっているはずですよね。中でもお金をかければある程度の対策ができてしまう悪意に対する対策はできているものの、日常の運用の中での「うっかりミス」や「伝わったはず」や「認識の甘さ」についてのリスク認識と対策がまだまだ進んでいない、といったところでしょうか。
昨日某所で聞いた話の受け売りではありますが、既に情報セキュリティに関しては技術的な対策をすれば完璧という状況ではなく、どう情報セキュリティを保つためのマネジメントを行なうか、という視点が必要な段階に来ています。お金をかければ対策ソフトもいくらでも買えますが、社員の意識だったり、リスクや事故を未然に防ぐ(もしくは可能な限り早く発見する)ためのルール・組織風土をどう作り上げるかということはなかなか難しいものですよね。
当社も今更新審査の指摘事項への対応中ではありますが、更新が終わったらあらためてこの部分に手をつけていかなければと思っています。