エクアドルでの個人情報流出事件について(社内ルールは決まってますか?)
今日は気になったニュースを紹介します。
まずは記事紹介から。
このニュースで特に気になった部分は「関係者によれば、同社はこのデータを保有していることになっておらず、同社と同社の役員は、プライバシーの侵害と承諾なしに個人情報を流布した疑いで捜査を受けているという。」の部分です。
これ?
他人事だと思ってませんか?
大手企業は派遣社員の受け入れでさえ情報セキュリティー研修を行い、定期的に社内イントラなどに用意された学習コンテンツより勉強会を行って継続的なフォローを行ってます。USBディバイスもポートコネクターを物理的に塞ぐ、許可されたディバイス以外は接続できないようにPCが設定されている、管理者に警告が上がる、USBに書き込まれたファイル名が記録される等など・・・・
ですが、中小企業ではここまでは対策ができないと考えます。せいぜいが「ポートコネクターを物理的に塞ぐ」でしょうか?利用する時はポートを塞いでいるコネクターを外す機器を利用するときに、管理台帳で「誰が」「いつ」「何を目的に」もって行ったのか、また返却日を台帳に記載して指定の場所、だいたいは小さな金庫に返すという形になるでしょう。
(※この方法はどんな小さな会社でも簡単に対応できるし台帳で一定の効果が見込めるのでお勧めです)
データの取り扱いは「個人情報保護法」で厳密に決められています。またマイナンバーの取り扱いは一定のルールを決めて運用し、情報が漏れないよう運用することが経営者に求められております。
(小企業では社内で個人情報を取り扱うのではなく、社長室などで取り扱うことも多いのではないでしょうか?)
この「個人情報の定義」を社員全員で知識共有できてますか?
企業情報と個人情報の違いが社員全員、理解できてますか?
情報を守るために、社内で決めているルールを社員全員が理解しルールにのっとって行動できてますか?
個人情報にアクセスする必要がない業務も、もちろんあります。それでも会社の知的財産を守るための社内ルールは守る必要があります。
この社内ルールが決まって、守れているなら、まずは安心です。
でも・・・決めてない、何をどうすればよいかわからない、ということはありませんか?
ぜひ社内ルールをきめて、会社の知的財産とお客様の個人情報・企業情報をまもっていきましょう。