先日書いた件に出てきた、某媒体に送ったもののボツになった原稿を、もったいないのでここで載せときます。
-- ここから
CEATEC JAPAN 2004・3日目となった7日は、「半年でできる個人情報保護法対応」と題して大塚商会の佐藤憲一氏が講演を行い、「個人情報保護法対策として何を行えばいいかを一言で言えば、『社内にお客様相談室を作る』『委託先や社員の契約や教育をきっちり行う』の2点に尽きる」と、非常に簡潔に個人情報保護法に向けた体制作りのポイントを語った。
佐藤氏は「個人情報保護法対策というと、何かとファイアウォールだ、アンチウイルスソフトだというシステム面の問題ばかりが取り上げられることが多いが、今や社内でコンピュータシステムを抱えていない企業など皆無であり、そこでは多かれ少なかれシステム防御の対策は行われている」として、一部アクセス制御機能の設定やログの管理などについて問題がある企業が多いものの、多くの企業ではそれほどシステムに対して新たな投資を行う必要はないとの見解を披露。
それよりも、例えば社内システムの開発を外部のベンダーに委託した場合について「従来は基本契約+簡単な守秘義務契約を結ぶだけでよかったが、個人情報保護法の施行と共に契約を全面的に見直し、『守秘対象物の明確化』『対象物の授受管理』『開発体制の管理・監督』『契約終了後の対象物の取り扱い』といった細かい点を明確化した形で再契約を行う必要がある」「開発体制の管理一つ取っても、具体的に委託先のベンダがどのような社員教育を行い、どのような体制を整備しているかといった点を具体的に確認していく必要がある」といったように、システム以外の部分に対する体制の見直しが多くの企業では急務であると語った。
また「お客様相談室の設置」については、「もしユーザからの問い合わせにきちんとした対応を行わないと、ユーザから監督官庁や消費者センタなどに苦情が行き、監督官庁からの勧告や命令、最後は懲役や罰金という話になってしまう」と述べた上で「究極的に言えば『クレームユーザに親身になって対応すればそれでいい話』といえる」と語り、個人からの問い合わせを全社的に代表して受け付ける窓口の設置が不可欠な理由を示した。ただし「単に丁寧な対応をすればそれでいいという話ではない」として、それに応じた社内の体制整備を行うことについて釘を刺すことも忘れなかった。
個人情報保護法への対応としては最近プライバシーマークやISMSの取得なんかがよく叫ばれているが、これについても佐藤氏は「よくコンサルティング会社は『組織を作れ』とか『PDCAサイクルを作れ』とか言うが、これは現実と乖離している」と指摘。現実に企業が営業活動を行っている以上既に組織や活動が行われていることから、最初は計画(Plan)から始まるのではなく現状の問題点の把握(Check)から始まるのが適切だとの考え方を示し「『Plan-Do-See-Check』ではなく『See-Check-Plan-Do』となるのが正しい姿だ」と語った。
社員教育についても「ただ社員を集めて『個人情報が大事』と講演しただけでは、かえって『それでは商売にならない』と社員の逆切れを招きかねない」と佐藤氏は述べ、まずは社内のマナーとして個人情報取り扱いに対する姿勢を啓蒙した上で、それが定着してきたところでルール化するのが適切だとアドバイス。実際に大塚商会でも、社員向けに定めている「サポート10訓」の中で情報取り扱いに関するマナーを定義しているとも語った。
最後に佐藤氏は『苦情処理対策』『外注・委託先業者対策』『社員教育』という3つのポイントにさえ気を付けておけば「個人情報保護法対策は半年と言わず1ヶ月でもできる」と語り、「だからあまり同法への対応に過敏にならずに、まずはこの3つをクリアすることに主眼を置くべき」と参加者に呼びかけていた。
