HOMEコラムトップ
個人情報とコンプライアンス

コンプライアンス・プログラムとは?

インターネットプライバシー研究所 代表取締役 高木寛氏 コンプライアンスという言葉は、医薬品や金融などの一部の業界では、すでによく知られているが、そのほかの業種の人にとっては耳新しい言葉かもしれない。ところで個人情報保護について日本工業規格があることをご存知だろうか? 「個人情報保護に関するコンプライアンス・プログラムの要求事項」JIS Q 15001である。辞書的にはコンプライアンスとは「遵法」だが、この「法」とは法律よりやや広く社会規範や社内規範をも含んだ広い意味での法規範である。つまりコンプライアンス・プログラムとは法律のみならず社会倫理、社内倫理を守るための実践的な計画の総体をいう。このようにコンプライアンス・プログラムを説明しても何のことか分からないだろう。
私が代表をしている(株)インターネットプライバシー研究所は個人情報保護に関する企業コンサルタント会社である。そこで個人情報保護法を例にとって考えてみよう。平成17年4月に施行される個人情報保護法は「法律」であってそれを守るのは企業として当然である。そこで具体的な条文を例に挙げよう。
「第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」
安全対策に関する規程だが、これで「そうか。わかった。こうすればいいんだな」という人はまずいないだろう。なぜならば法律は具体的に何をすべきかについて規定していないからである。「インターネットではファイヤウォール使用し、オペレーションルームは指紋認証で管理しなさい」とでも書いてあれば、法律を読む側としてはとても楽なのだが、そうはなっていない。これは、法律を作った人が意地悪なのではない。一言に個人情報といっても名刺情報からヒトゲノムまでさまざまだからである。量的にも個人が年賀状用に集めたパソコンのデータから、数千万件という巨大なデータベースまでさまざまである。そのため、安全対策を法律で一義的に規定できないのである。個人情報保護法は個人情報取扱事業者に対してさまざまな義務を課しているが、その多くはこのような抽象的な義務である。社会倫理となると法律のように明文があるわけではないし、人によって基準が異なってくるから更に曖昧かつ多義的である。
コンプライアンス・プログラムを作る

コンプライアンス・プログラムはこのような抽象的な法や社会倫理を企業の中で実践可能なものにするためのプログラムである。個人情報保護法が規定する義務や社会倫理の実践は、社長の「個人情報保護法を守れ!」という号令だけではできない。法律の義務や社会倫理を自社の業務に当てはめて、会社全体として具体的に社員がどのように行動すればよいかを明らかにしなければならない。簡単にいえばこれがコンプライアンス・プログラムなのである。
個人情報についていえば、会社としての個人情報保護の基本的な方針が示されなければならないのは勿論のことである。
今回の個人情報保護法は比較的緩やかである。つまり、厳格な保護は規定していない。ともすると個人情報というだけでいわばがんじがらめに縛ってしまう傾向がないではない。しかし、少し考えれば、それにより会社の機能が停止してしまうことに気が付くはずである。大切なことは形だけの厳格な方針を作ることではなく、業務に適した保護と利用のバランスを考えることである。次に会社が取り扱う個人情報とその現状を洗い出し、実際の取扱い方法で気をつけなければならない点をルール化していき、さらに現場の社員にわかりやすい形でマニュアル化していく。その過程では社員がルールを守っていることをチェックするシートも用意するのが普通である。
これは個人情報保護のコンプライアンス・プログラムの一部である。このほかに個人情報保護を全社的に統括する組織や監査の仕組み、ルールの見直しの手続きなどさまざまなことを決めていく。
このようなトータルなマネジメントシステムが個人情報保護に関するコンプライアンス・プログラムなのである。
個人情報保護法との関係

それではこのようなコンプライアンス・プログラムと個人情報保護法とはどのような関係にあるのだろうか。個人情報保護法自体は抽象的であって、それだけでは具体的に何をすべきかを定めていない。したがって、各企業が自主的に自社の業務を分析し、抽象的な法の要求を具体化する以外にはないのであって、コンプライアンス・プログラムは、その重要な第一段階なのである。コンプライアンス・プログラムを作ることで個人情報保護法への対応の第一段階は完了し、さらにそれを社内で実施して初めて個人情報保護法への対応ができたということができる。ここに至るまでには、経営層をはじめとして社内でさまざまな議論を経る必要があるのだ。
数日間の講習で個人情報保護に関する資格を発行する団体もあるが、法対応として必要なことは資格取得ではない。また、多くの場合「あれも個人情報、これも個人情報。これも危険、あれも危険。」として厳格過ぎるルールを作ってしまいがちであり、また、それを煽るだけのコンサルタントの存在も残念ながら否定できない。しかし、社内で法律の趣旨との関係を十分に議論し、厳格にし過ぎずしかも適切な社内体制を構築し、実施することが最良の個人情報保護法対策なのである。
注意すべきことは、安易な方法はそれだけの効果しかないということである。

ホームページSECOMパック 「ベーシックなセキュリティ診断」と「Webサーバ証明書」をパックで提供
セキュアデータセンター セコムのノウハウを結集した堅牢なセキュリティに加え、サイバーセキュリティまでをオールインワンで標準装備
セコムパスポートforWeb 実在証明と128bitSSL暗号化通信で、Webサイトの信頼性をサポート只今キャンペーン中!
 
[close]