情報管理の三本柱は、「ルールの策定」「利用者の把握・監視」「教育の徹底」

1.ルールの策定

個人情報に限らず、ルールなくして安全かつスムーズな情報管理は困難です。少なくとも、以下の3点については明確にしておきましょう。

□アクセスに関して
利用者の業務内容・責任に合わせて、情報にアクセスできる範囲・人・権限(閲覧/編集など)・場所・条件などを定めます。

過剰な権限の付与は、思わぬトラブルを招きかねません。不慣れな人が「誤ってデータを消してしまった」「関係ないデータを更新してしまった」といった事態を引き起こさないよう、“大は小を兼ねる”的な発想ではなく、必要に応じて権限を設定しましょう。

なお、アクセス権を「第三者に貸す」ことは、社員同士であっても絶対にNG。そのため、「権限の利用は、必ず本人のみ」という前提条件も欠かせません。

□取り扱いに関して
特に個人情報に関して、取得・廃棄・受け渡し・持ち出し時のルール・制限を定めます。

例えば、機密情報をダウンロードする際には、記憶装置を持っていないか検査する、作業の前後でパソコンのチェックを行う、承認を経る、複数人が立ち会うなど、具体的な作業レベルでプロセスを明確にします。

やはり手間がかかりますし、データの内容を問わず厳密化してしまうと、日常業務に支障が出たり、職場の閉塞感にもつながりかねません。かといって甘すぎるルールではリスクが高まるため、業務やデータの種類・重要性に合わせて方法を選択しましょう。

□運用に関して
ルール通りに運用されているかを検証するタイミングや、その方法を定めます。

ルールを定めた当初は、緊張感もあるため厳密に運用されることが多いのですが、慣れてきた頃に、「これくらいはしても(しなくても)平気だろう」と各自で勝手に判断してしまうケースが出てきやすくなります。

運用やチェック体制についても具体的なプロセスを決めておこう

運用やチェック体制についても具体的なプロセスを決めておこう

そこで、例えば毎月第一火曜日に定例ミーティングを実施し、適切な運用が行われているか、グループおよび個人ごとにチェックシートを用いて確認作業をするなど、検証体制を予め決めておくことが重要になります。