個人情報保護のための
組織としての取り組み

マイクロソフトでは、「信頼できるコンピューティング」の実現として、すべての人々がコンピュータを信頼し、
安全に利用できる環境の整備を目標として全社で取り組んでいます。
加えて日本マイクロソフト株式会社では、個人情報保護法やプライバシーマークなどを代表とする日本の法令等や
慣習に則った業務遂行のために、マネジメントを継続する組織体制を整備しています。
またコンプライアンス プログラムとして、年間を通した監査や点検活動で社内改善を進めるとともに、
社内教育や社内啓発にも力を入れています。
これらの取り組みの一例を以下にご紹介いたします。

PDCAサイクルに基づくプライバシーマーク認証

現在日本国内ではコンプライアンスを徹底させるために、組織の規模や種類を問わず大きな努力を図っています。日本では、2005 年 4 月に個人情報保護法が全面施行され、個人情報の取り扱いにおいて企業に厳格な義務と責任が求められるようになりました。

日本マイクロソフト株式会社では 2002 年から個人情報保護方針を定め、2003 年には ICT 業界で初めて「プライバシー マーク」の付与認定を受けました。さらに、個人情報保護法の施行にあわせて再度社内体制を強化し、継続的な見直しを行っています。プライバシーマークの取得および活用は、日本の政策や法令を遵守し、IT 社会基盤の整備支援を行っていくことを目的として、日本マイクロソフト株式会社では今後も継続していきます。

プライバシーマーク
登録番号
第 11820219 (07) 号
認定取得
2003 年 11 月
最新更新日
2015 年 11 月 10 日
指定審査機関
一般社団法人情報サービス産業協会 (JISA)
付与機関
一般財団法人日本情報経済社会推進協会 (JIPDEC)
  • Do 実践及び運用
  • Plan 計画
  • Action 見直し
  • Check 点検
個人情報保護方針(継続的改善)

情報セキュリティへの対応

日本マイクロソフト株式会社では、
情報セキュリティへの取り組みとして情報セキュリティマネジメントシステム (ISMS) 認証を取得しています。

情報セキュリティマネジメントシステム(ISMS)認証
認証基準
JIS Q 27001:2014 (ISO/IEC 27001:2013)
認証番号
JP12/080216
登録範囲
官公庁、自治体、文教、医療、通信、メディア、
グローバル企業向け IT コンサルティングサービス
初回登録日
2011 年 11 月 10 日
認証機関(認定番号)
SGS ジャパン株式会社

個人情報保護マネジメントシステム推進体制

個人情報保護マネジメント システムを継続して実施するためには、役割、責任と権限を定める必要があります。
日本マイクロソフト株式会社では複数の部門が存在し、各々の部門長を個人情報保護部門責任者としています。
部門責任者を補佐する役割として、個人情報保護部門推進員を配置しています。

個人情報保護推進体制

企業の規定によって、専任もしくは兼任での担当者の任命となりますが、いずれの場合においても、
現場のオペレーションに熟知し、様々な調整を行える権限と責任が必要です。

個人情報保護推進体制

※Report to their respective managers

文書化の徹底

JIS Q 15001:2006 3.5
個人情報保護マネジメント システム文書

個人情報保護マネジメントが確立され、
運用されていることの要件として、文書化の整備があげられます。

社内サイト
Privacy Portal
社内サイト Privacy Portal の図
Agenda課題

文書化整備の課題

文書の電子化が進むにつれ、部署、個人単位での書類作成や共有の機会が多くなってきています。マイクロソフトにおいても、山積する書類を前に、文書の有効性、機密度とその管理、文書を生かしたナレッジマネジメント等の課題が浮き彫りになりました。

Solution課題

日本マイクロソフト株式会社では、JIS Q 15001:2006 に準拠した文書整備の他、社員向けの各種情報を SharePoint Server 2010を用いて解決を図っています。

また、個人情報の台帳管理システムとして、Office SharePoint Server で PII Control System (PIICS) を構築しています。
PIICSは台帳管理だけではなく、個人情報ファイルの格納、機密レベルに合わせたIRMによる暗号化も同時に行えるものとなっています。
PIICSを利用するためのアクセス権付与の前提として、社内トレーニングの受講が必須となっています。
個人情報の特定と供に、管理する個人情報のリスク分析結果も管理しています。

コーポレート
リスク マネジメント

日本マイクロソフト株式会社では、信頼できるコンピューティングの実現に向けての活動の一環として、お客様に対して提供している各種サービスにおけるリス クマネジメントに取り組んでいます。

取り組みにおいては事故の発生の未然防止のみならず、万一事故が発生した場合にも、お客様に対する悪影響を最小限にとどめるために、事故対応力の向上が不可欠であると考えています。また、各種サービスの提供におけるリスクマネジメントに取り組むことは、社会の一員として信用される企業であり続けるために必要なビジネスプラクティスであると考えています。

「緊急対応ガイドライン」の骨子

マイクロソフトでは、各種サービスの開発・運用に携わるサプライヤー各社と Microsoft Vendor Program (MSVP)や Supplier Security and Privacy Assurance プログラムを通して、サプライチェーンを通してのコンプライアンス遵守に取り組んでおり、「緊急対応ガイドライン」を策定し、サプライヤー各社への普及啓発を継続的に実施しています。

1.緊急事態発生の認識
緊急的な対応が必要な事態が発生したことを、
いち早く認識し、対応を開始する
2.事態の把握
緊急事態が発生した原因、被害や影響の範囲、
顧客の状況等を把握する
3.関係者への説明
緊急事態が発生している事実や経緯、
顧客への影響などを説明する
4.被害拡大の防止
顧客の被害を最小限にとどめ、
事態の早期収束を図るための対策を講じる
5.再発防止
類似の事態を繰り返さないよう、
根本的な問題解決を図る
6.誓約
お客様や地域社会に対して再発防止策を公表し、
コミットする

CSS カスタマーサービスサービスデリバリーマネージメントエスカレーション スペシャリスト 今野裕子

個人情報に関する
お問い合わせ窓口の設置

個人情報に関する専用の窓口を設置し、お客様からのさまざまなご質問・お問い合わせに対応しています。
コールセンターでは、お客様からお寄せいただく個人情報に関するお問い合わせについて、「弊社の個人情報の取り扱い」に則り、誠実、かつ迅速に適切な対応を行うよう努めており、また、お客様からいただいた貴重なご意見は「お客様の声」として、責任を持って社内にフィードバックしております。

社内教育の徹底と社内啓発活動

日本マイクロソフト株式会社では、個人情報保護方針に沿って、従業者および日本のビジネスに関連がある他国現地法人に対しても、個人情報保護の教育を行っています。ガバナンスの維持継続においては、トップダウンによる明確な指示と共に、中間管理職やスタッフレベルへの周知のための教育が重要と考えています。

日本での教育風景

日本での教育風景の図

シンガポールでの教育風景

シンガポールでの教育風景の図

また、教育と併せて従業者ひとり一人の意識向上を目的とした社内啓発にも積極的に取り組んでいます。
定期的なニュースレターの発行や啓発用ポスターの掲示、また漫画などを活用するなどして、社員が理解しやすく、意識付けができるように工夫を加えて活動を行っています。

マイクロソフト社内啓発ポスター採用作品

マイクロソフト社内啓発ポスター採用作品の図
横浜デザイン学院
ビジュアルデザイン科
大野 楓さん

このたびは作品をマイクロソフト社内の、プライバシー啓発ポスターに採用いただき非常に嬉しく思っています。
パソコンやスマートフォン、SNSなど身近なプライバシーと関わるものに鍵を掛けるというアイデアが浮かび、鍵を利用者に見立てた人に持たせる事で、プライバシーは自分がしっかりと守る必要があるという事を伝えたいと考えました。

※デザイン協力: 横浜デザイン学院(産学共同プロジェクト)

デザイン協力: 横浜デザイン学院の生徒たちの図