1. 体制および PDCA サイクルの確立
(JIS Q 15001:2006 3.3.4 資源、役割、責任及び権限)

個人情報保護マネージメントシステムを継続して実施するためには、役割、責任と権限を定める必要があります。
マイクロソフトでは複数の部門が存在し、各々の部門長を個人情報保護部門責任者としています。部門責任者を補佐する役割として、個人情報保護部門推進員を配置しています。

名称*
役割*

個人情報保護管理者

コンプライアンス・プログラム維持・運用の総責任者。Cheif Privacy Officer(CPO)

個人事情保護監査責任者

個人情報保護管理者からは独立してコンプライアンス・プログラムの実施状況について監査を行う。

個人情報保護教育責任者

コンプライアンス・プログラムの周知徹底のため、社員等への適切な教育を実施する。

個人情報保護外部対応責任者

外部対応窓口を設置し、個人情報及びコンプライアンス・プログラムに関して、苦情及び相談を受け付けて対応する。

個人情報ベンダー支援責任者

個人情報を取り扱うベンダーおよび社内のベンダー担当者に対して支援を実施する。(社外業務委託先の一元管理を行う組織構成のために必要と考えている)

個人情報保護法的問題責任者

個人情報保護に関する法的な問題が発生した場合、問題の解決に対応する。

個人情報保護部門責任者

所管部門におけるコンプライアンス・プログラムの実施・運用状況について責任を持つ。

個人情報保護事務局長

CPO のサポートし、コンプライアンス・プログラムを運用する。

個人情報保護部門推進員

個人情報保護部門責任者、個人情報保護事務局を補佐し、部門における個人情報保護の推進を行う

上記体制にて月1回の責任者会議を行い、年に1度代表者への報告 (CEO Review) を行っています。

個人情報保護推進体制チャート

企業の規模によって、専任もしくは兼任での担当者の任命となりますが、いずれの場合においても、現場のオペレーションに熟知し、様々な調整を行える権限と責任が必要です。

2. 社内監査で実情を把握する
(JIS Q 15001:2006 3.7 点検)

コンプライアンス・プログラムを適切に継続実施していくためには、定期的に監査する必要があります。 独立した社内監査人を配置し、年間を通して監査を進めます。 監査は部署単位、社員個人単位で行われ、指摘事項などが発見された場合は、速やかに改善を要求します。 監査報告書は代表者報告され、部門単位での改善指示などの判断材料となります。

監査シートの例
(監査シートの例)

監査の内容は各責任者にフィードバックされ、PDCA(Plan-Do-Check-Act) サイクルに合わせ改善を継続することが重要です。

[有効な監査とは]
「”抜き打ち監査”でなければ監査じゃない」という大きな誤解を解くためには、監査部門と被監査部門において監査の本質について理解する必要があります。
情報セキュリティにおける監査には、マネージメントが適切であることを保証する保証型監査と、設定しているセキュリティレベルと現状との差異をみつけ是正措置を助言する助言型監査がありますが、監査が形骸化しないためには、両方の視点での監査が必要と考えられます。
定められた業務プロセスがビジネスに適応した状態であるためには、現場レベルでの小さな PDCA サイクルから、組織全体での大きな PDCA サイクルに至るまで、規模に応じた改善サイクルが働いていることが重要です。
この PDCA サイクルが適切に動いていることが、有効な監査となる最低条件であり、被監査部門において PDCA サイクルによる改善目的や監査の役割・責任などについて深く理解することにより、さらに業務改善に役立つものとなります。
つまり、監査は日々の業務の積み重ねの一環であり、チェックし糾弾することを目的としているものではありません。
監査部門においては、組織における実務を的確に把握し、改善案を一緒に考えるという姿勢と心構えが大切です。

3. 文書化の徹底
(JIS Q 15001:2006 3.5 個人情報保護マネージメントシステム文書)

個人情報保護マネージメントが確立され、運用されていることの要件として、文書化の整備があげられます。

[課題]
文書の電子化が進むにつれ、部署、個人単位での書類作成や共有の機会が多くなってきています。マイクロソフトにおいても、山積する書類を前に、文書の有効性、機密度とその管理、文書を生かしたナレッジマネージメントなどの課題が浮き彫りになりました。

[解決]
マイクロソフトでは、JIS Q 15001:2006 に準拠した文書整備の他、社員向けの各種情報を SharePoint Server 2007 を用いて解決を図っています。

Privacy Portal
(社内サイト Privacy Portal)

また、個人情報の台帳管理システムとして、SharePoint Server 2007 で PII Control System(PIICS) を構築しています。
PIICS は台帳管理だけではなく、個人情報ファイルの格納、機密レベルに合わせた IRM による暗号化も同時に行えるものとなっています。
PIICS を利用するためのアクセス権付与の前提として、社内トレーニングの受講が必須となっています。
個人情報の特定と供に、管理する個人情報のリスク分析結果も管理しています。

[Office SharePoint Server 2007 の特徴]
セキュリティ対策とコンプライアンス対応した文書管理
1:文書の改定履歴管理
内部統制や監査の評価期間における文書の変更内容を適切に記録することができます。
2:業務プロセスの自動化と可視化
プロセスの流れを自動化させることにより、手続きの人的ミスや遅れを防止します。また、プロセスの可視化・トレースにより、申請者や承認者がだれなのかを証明することができます。
3:文書の改ざん防止・発見
Office 文書の電子署名機能の強化により、文書の承認者が誰なのかを証明し、改ざんや破棄を防止します。
また、暗号化処理により情報漏えいを阻止します。
4:重要な文書のアクセスに関する監査ログ取得
文書の変更内容や変更者などを証明することができます。
5:保存期間設定を担保する保存管理機能
ライブラリやコンテンツタイプに対する保存期間ポリシーの設定と管理を行うことができます。


[PIICS の特徴]
1. 台帳管理機能に加え、PII ファイルを保存する機能があります。

2. IRM の機能を利用し PII ファイルのアクセス権制御を行うことができます。
(IRM は、Excel,Word,PPT などに有効であり、Access などは対象外のファイルもあります。)

3. PII の責任所在を明確にするために、PII の責任者や利用者の登録機能があります。
(PIICS の利用者は、最初に PIICS のアクセス申請が必要になります。)

4. 案件登録やアクセス申請をする際に、登録者の上長による承認機能があります。

5. 個人情報保護部門推進員が担当部門内の登録状況を見る管理機能があります。

[PIICS システム概要]
PIICS システム概要

[PIICS 処理フロー]
PIICS 処理フロー

関連情報

ページの上へ ページのトップへ