株式会社コプロシステム

2020.04.10 | 企業活動 コプロシステムの情報セキュリティ 継続的な管理を行うために

 日々お客様から個人情報をお預かりしているコプロシステムでは、お客様に安心してご依頼いただけるよう、様々な取り組みを行っています。今回の記事では、その中でもプライバシーマークに関する取り組みについてお伝えいたします。

「継続性」が情報セキュリティのキーポイント

 コプロシステムは「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に基づいた個人情報保護マネジメントシステムを定め、個人情報の保護について適切な保護措置を講じる体制を整備し、2005年7月にプライバシーマーク付与の認定を受けています。

 個人情報保護に限らず情報セキュリティ対策の取組みは5つの分野に分類されます。
・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置

 これらの5分野のうち全てにおいて、継続的に実施することが重要なのです。

各部門の業務に応じた管理体制

 コプロシステムでは、個人情報と情報セキュリティ対策を継続的に実施するための取り組みとして、「自主点検」と呼んでいる活動を社内の各部門で実施しています。これはJIS Q 15001:2017附属書A(A3.7.1運用の管理)に、以下のように規定されている内容に基づいた活動です。

『組織は,個人情報保護マネジメントシステムが適切に運用されていることが組織の各部門及び階層において定期的に、及び適宜に確認されるための手順を確立し、実施し、かつ、維持しなければならない。』

 また、コプロシステムの個人情報保護規程では、この「自主点検」の運用手順を、以下のように規定しています。

『各部門の責任者は、日常の業務で個人情報が部門内で規程通り取り扱われているか、また法令等に違反していないかを確認するために自主点検実施記録の様式に従い月に1度、日常点検を実施し報告する。』

 個人情報の保護と情報セキュリティ対策については全社体制で取組んでいますが、営業、マーケティング、システム開発、データ処理、倉庫管理、総務人事など様々な社内部門があり、当然ながら部門によって扱う情報も違ってきます。その結果、実際に取組む内容も部門ごとに変える必要があるのです。

 この「自主点検」は、年度の最初に各部門がどのような日常点検を行っていくべきかを話し合って決定します。すなわち、各部門の様々な業務内容に応じた情報セキュリティ運用の点検項目が定められることがポイントとなります。

 点検項目は部門ごとに複数の項目を定めて実施していますが、例えば以下のような内容になります。

【営業部門】
  クライアントからお預かりした個人情報を規定された場所で保管しているかを確認
【マーケティング部門】
  実施又は収集した各種調査データに個人情報が含まれないことを確認
【システム開発部門】
  脆弱性のないセキュアなプログラム作成をするためのコーティング規約の見直し
【データ処理部門】
  データを入力した原票の保管状況と廃棄モレの原票が残っていないかを確認
【倉庫管理部門】
  セキュリティ及び作業効率面で倉庫内環境・レイアウト等が適正に保たれているかを確認
【総務人事部門】
  求職者の履歴書などを規定された場所で保管又は適切に返却しているかを確認

 このように、個人情報保護及び情報セキュリティ対策と言っても、各部門の業務内容に応じた対策は様々な内容になることがおわかりいただけたと思います。

 コプロシステムでは「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に基づき、各部門が日常の点検を「自主点検」として報告することにより、個人情報保護及び情報セキュリティのマネジメントシステムが継続的に運用されていることを担保しています。