技術とか戦略とか

証券レガシーシステムを8年いじってから転職した普通の文系SEによるブログ。技術のみではなく趣味の戦略考察についても。

プライバシーマーク取得企業で働く上での心がけ(一般社員向け)

私が勤める会社でもプライバシーマークを取得しており、一般社員向けの研修があったので、内容を簡単にまとめます。
研修テキストはネットに上げられませんし上げてもあまり意味はないので、一般論的なことを簡単にまとめるだけにします。
詳細なことに関しては各企業毎で話されると思いますし、ルールは各企業毎で微妙に違うはずなので。
 
ちなみに、情報処理技術者試験でも「プライバシーマーク制度とは何か」といった設問が出ることがあり、関連する個人情報保護法等も出題されることがあるので、情報処理技術者試験対策の上でも知っておくべきことの一つです。
 
プライバシーマーク制度とは
 JIPDEC(一般財団法人日本情報経済社会推進協会)が運用している制度である。
 日本工業規格「JIS Q 15001」に基づいて
 個人情報を管理する体制を整えている企業に対してプライバシーマークが付与され、
 会社の信用度を外に示すためにプライバシーマークを使用することを許される。
 
■個人情報とは
 特定の個人を特定できる情報である。
 氏名や住所はもちろんのこと、社員番号や本人の画像等も含まれる。
 
■個人情報の安全管理措置
 個人情報について「漏洩」「滅失」「毀損」
 を防ぐための安全管理措置を取ることが重要である。
 社内に対しては、個人情報管理のルールを定め、必要な投資を行うのが有効。
 社外に対しては、取引先の個人情報取り扱いの体制を確認した上で、
 契約書による管理を行うのが有効。
 
個人情報保護法とは
 個人情報の不適切な取り扱いを未然に防止するための法律(予防法)である。
 内容は年々更新されているので、最新の情報を確認することが重要である。
 (情報処理技術者試験対策という意味では、最新のテキストを読むのが重要)
 
マイナンバーとは
 国民一人一人を一意に特定するために、12桁の番号が与えられるものである。
 (法人向けは13桁)
 2019年2月現在は、社会保障、税金、災害対策のみに使用され、
 行政の効率化を図ることができる。
 マイナンバーの取り扱いについてはマイナンバー法により定められており、
 本人が同意しても第三者に提供できないなど、
 個人情報保護法よりも厳しく定められている。
 
■個人情報が漏洩した際のリスク
 個人情報が漏洩したことによる被害を補償する必要が出てくる他、
 会社に対する信頼が失墜し、その後の事業活動にも悪影響が出る。
 
■個人情報を取り扱う上で一般社員が注意するべきこと
 会社毎で取り扱いのルールを決めているはずなので、
 上位者の指示にしたがってそのルールを守ることが重要となる。
 (おかしいと思うことがあれば上位者に相談することも重要)
 一般的には、以下のような事項についてルールが定められる。
  ・個人情報の取得や取り扱いのルール
   (本人の承認を取る、クリアデスク等)
  ・PCのスクリーンセーバー設定
  ・メール送信時の宛先・CC・BCCの使い分け
  ・メールの添付ファイルの送り方
   (パスワード付きzipにしてパスワードは別途送付等)
  ・ノートPCのハードディスク暗号化やワイヤロック
  ・私的端末の使用の制限