質問
世の中には個人情報を扱っていないので、関係ないという会社や
経営者がいますが、そんなものは存在しません。
それと同様に個人情報を漏らさない方法もITで実現できるなんてのも幻想です。
むしろ仕組みとして持ち出しにくくするか、そのようなモラルを高める
程度しかないと思います。
持ち出そうとする悪意があればどんな方法でも持ち出すことは可能です。
ここでも何回かこの種の話は持ち上がったと思いますが、
1.仕組みとして作る(IT)
2.モラルを高める(経営者、企業に対する愛情、ロイヤルティ)
このミックスでしょうね・・。
ryoさん自身でも持ち出すことはきっと可能なはずです。
ITは小さなディフェンスに過ぎないと思います。いやほんと。
当方でも、かなりきつめのセキュリティツールで監視していますが、
各端末内の個人情報は防いでいないです。というか、防ぎようがなさそうな気がしますね。
ここは外部流出を防ぐことに注力しましょう。
また、会社レベルで社員に教育・啓蒙(というか脅し?)するのも大切かと。
そうすると「大丈夫だろうけど、万一ばれたら・・・」という心理が働いて
抑止力はかなり上がると思います。
右の日立さんのバナーからたどったら、非常に参考になる
ノークリサーチさんの記事が掲載されていましたのでリンクを貼っておきます。
まずは
「個人情報取扱規程」というようなものを作ります。
個人情報とはなにか ということと 個人情報を登録制にします
登録内容としては 何の情報か、所在地、管理者、扱い者(複数)、件数(概数)、...
で
そこに定義した個人情報を扱うときに「扱い者」以外が使う時はすべて書類による事前許可を必要 という規則にします データをコピーするのも「使用」と見なします。
ここでいう情報とはコンピュータの中のデータだけでなく紙も含みます(名刺も含みます)
個人情報の台帳には所在地があるわけですから 個人のパソコンに置く のは最初から排除出来ます
時々、抜き打ちで監査して違反していないか調べます。 最初は違反者が絶対に居ますので(名前は公表しないで)かなり厳しく糾弾します「こういう例があった 今度、見つけた場合は懲戒処分にする...」みたいに。 文句を言う者も居ますが「個人情報を使うなと言っているわけではない 使うなら登録と事前許可を取れといっているのだ」と説得します。
登録の許可、使用許可は厳しくしないこと 業務上の合理的な理由が有ればちゃんと許可してください。(ここを厳しくしてしまうと無許可が横行してしまいます)
個人情報台帳を作っておけば管理は楽になります (それ以外には有りませんと言い切れるからです)
最後は社員のモラルがたよりですが それにしても区分け(なにが個人情報なのか どういうことは違反になるのか)を明確にしないと守りたくても守れないです。
質問
ご無沙汰しています。
ryoです。
弊社でも個人情報をローカルに保存しないようにと
社内に声をかけているのですが、本当に
各端末に個人情報が保存されていないかは
把握しきれていません。
皆さんの会社では、個人情報の取り扱いについてどのように
されていますか?何か良い方法があるのでしょうか?
社員のモラルに任せるしかないのでしょうか?
よろしくお願いします。