さかやんのコンサル日記 Vol.294 平成17年8月26日 金曜日
1回読みきり 「個人情報漏洩事故」
これは、知り合いのプライバシーマーク取得コンサルの方から
聞いた話です。
ある企業がプライバシーマーク取得のための活動をしていました。
(取得に向けた活動中で、まだ取得していない)
ご存知の通り、Pマーク取得のためには、個人情報を保護するための
コンプライアンスプログラムを作成して、それに基づき活動します。
実は、この企業でちょっとした事件がありました。
詳細は書けませんが、個人情報の一部が漏洩したのです。
幸い、漏洩した個人情報はセンシティブなものでなく、かつ数も
少なかったので、大きなことにはならなかったようです。
この事故の原因は、コンプライアンスプログラム(CP)に記載されて
いないことが起こったのです。
通常CPの安全管理規定には、「パスワードは3ヶ月に1回変更すること」
などと規定されています。これは、第3者にパスワードを盗まれ、
システムに入られるリスクを防止するためです。
CPを作る場合、まずリスクを想定し、そのリスクを防止するための
対策をCPに盛り込みます。
今回は、このリスクが全て洗い出されておらず、CPに記載されていない
リスクが顕在化したのです。
この企業の社長さん曰く
「Pマーク取得の活動をしている最中に、こんなことになって、
大変残念です」
「逆に言えば、Pマーク取得しても、本当に個人情報が守れるのか
すごく心配です。意味がないではないか?」
確かに社長さんが言われる通りだと思います。
ただ、今回の事故はリスクが全て洗い出されていなかったことが
原因です。ですので、まずはリスクを全て洗い出し、その対策を決めて
CPに盛り込んでいく。あと、CP通りに活動することが重要です。
Pマークなんかとっても意味がないと言う前に、リスクを全て認識
するべきですね。
今日の一言
「漏れがないようリスクを認識せよ」
=================================================================
本メルマガは実体験を基にお送りしておりますが、登場する企業の業種や
役職、コンサル内容は脚色してストーリ化しております。実際のコンサル
内容をそのままお送りしている訳ではありません。
==================================================================
さかやんのコンサル日記は、隔日(月水金)発行です。
(火木土日曜・祝祭日はお休み)
**************************************************
<発行者>
有限会社ダイコンサルティング
中小企業診断士
ITコーディネータ・ITCインストラクタ
坂田岳史(さかやんです)
sakayan@daiconn.co.jp
http://www.daiconn.co.jp
オールアバウトのガイドもやっています。
http://allabout.co.jp/study/itqualification/
------------------------------------
私の理念
「一期一会」その瞬間を大切にします。
**************************************************
本メルマガの購読解除は、下のURLでできます。
http://www.mag2.com/m/0000116110.htm
