こんにちは。
おまかせ事務代行YPP 五味渕です。
先週、5回目のプライバシーマーク現地審査がありました。
プライバシーマークとは、一定の要件を満たした事業者などの団体(医療法人など)に対し
一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する登録商標で、
第三者機関により、個人情報の取り扱いについて一定の信用を得られる資格になります。
(Wikipedia参照)
コロナの影響でしょうか。
今までで一番、在宅ワークに関して審査員の方も理解が深く、
的確にリスクポイントを指摘くださり、大変勉強になりましたので
ブログでも、重要な点をまとめておこうと思います。
プライバシーマークの取得資格は
在宅で働く個人では基準を満たせませんが、
ある程度の知識をもてば、プライバシーマークに準拠した安全なデータ管理は、自宅でも出来ます。
というよりむしろ、自宅で仕事をする以上、安全管理には十分な注意が必要です。
以下の1→2→3の手順で考えていくと
意外と出来ている点と、出来ていない点がクリアになるのではないでしょうか。
1.自分が取得している「個人情報」を把握する
→ 個人情報管理簿のようなものを作ると良いです。
(プライバシーマークでは『個人情報管理台帳』の作成が求められます)
項番 |
文書名 |
個人情報の項目 |
利用目的 |
媒体 |
管理部署 |
保管場所 |
保管方法 |
保管期限 |
| 1 | ||||||||
| 2 |
2.「個人情報」のライフサイクル(入手→移送→利用→保管→破棄)ごとに
起きうるリスクを考え、その対応策を決めておく
例えば・・・
紙資料であれば、紛失防止のため
入手時に「内容と件数(枚数)を確認し、受領記録を残す」
保管時に「保管場所を1か所に定め、施錠管理する」など。
また、データであれば、漏洩や誤送信防止のため
送信手段を「関係者が限られるグループチャットにアップロードする」
「添付ファイルの自動暗号化サービスを利用する」など。
3.上記1と2を定期的に見直す日を決定し、見直し結果を記録する
次々と新しいツールが生まれ
安全性を脅かすリスクもまた増え続け、いたちごっこのようですが
【現状の体制でも可能な防止策を講じて実践しておくこと】は重要です。
とくに、“データの保管期限”を定めて定期的に破棄し
余計なリスクを抱えないでおくこと。
ついつい溜まってしまうデータ。
組織であれば、破棄するルール・手段・担当者を決めておき、
定期的な見直しをすると、やがて習慣になっていきますが、
在宅ワークで一人で仕事をする場合は、忙しいとつい後回しになりがちです。
チームで仕事をする場合であれば
チーム内ルールを定めて、定期的に注意喚起をお互いに行うのも手だと思います。
単独で、在宅で仕事を請け負う場合は、
「取引先から入手」→「作業中」→「納品完了」など
作業ステータスごとにデータをフォルダ移動し、
取引先から報酬が支払われたあとに、関係各社に確認の上
データ削除を行う習慣があると良いと思います。
会社からPCを預かり在宅で仕事をする場合で、
従来はそこまで個人情報の取り扱いについて取り決めがなかった場合は、
上記の1.2の手順
「個人情報データの把握」と「ライフサイクルごとのリスク&対策」を
“特に重要な書類に限って一覧表にする”だけでも
組織のデータ管理のあり方を見直すことができます。
今すぐ対処できないケースは“残存リスク”と把握しておくだけでも
リスクに気付いていなかったときとは、意識が変わります。
この記事をふと目にしたことをきっかけに
「そういえば…あの資料の取り扱いはどうなっていたかな?」と
気になるポイントを見つけていただけたら、嬉しいです。
<YPPがLINE公式アカウントに登場!>
お得な情報を受け取るには、以下のリンクから友だち追加してください。
