個人情報の取り扱いのルールを守ることの大切さ

中小企業の経営においても、個人情報保護の体制を取り、推進していくことが求められてきております。しかしながら、それは簡単なことではなく、「個人情報を大切にせよ」という言葉だけでは実効力がありません。
ソニーの取り扱う個人情報が大量に漏洩した事件においては、子会社にも影響が広がっており、サーバーの古いデータベースに削除されずに残っていた個人情報も漏洩しているようです。本来古いデータベースは使用していないのであれば、データは削除すべきでしょうが、それも行われていなかったということになります。

この事件において、悪いのはあくまで、サーバに進入し、情報を漏洩させた人あるいはグループであるわけですが、企業側においても、もっと厳重な保護ができたのではないか？という視点で考える必要もあります。

個人情報の取り扱いのルールの作成とそれを守ること

個人情報や機密情報の取り扱いについては、ルールを作成し、それを守ることが必要です。ルール作成に際しては、情報がどこで発生し、どのように扱い、どこに保管し、最終的にどの段階で削除するかというような一連の流れで考えていく必要があります。その中で、どのようなポイントに情報漏えいや毀損のリスクがあるかを分析にそれに対応する対策を練ることも非常に重要になるのです。
もちろん、ルールは作るだけではなく、守ることが大切です。また、守られていることが経営上も保障される必要があります。保障というと難しいことのように聞こえるかもしれませんが、要するにPDCAをしっかり回すということになります。ルールを作成し、ルールを実行し、それを監視し、見直すということが経営として一連の流れになることが重要です。

ソニーの今回の事件ではどうだったのでしょうか。
もちろん様々なセキュリティ対策は施されていたはずです。しかしながら、古いデータベースに残っているデータがあったりしたわけで、人為的なミスも散見されます。ルールどおりに情報が取り扱われておらず、監視もされていなかったということです。
今回のようにデータの削除等は一従業員が行うには勇気のいる行動です。しっかりしたルールに基づいて、確認も込みで削除・廃棄等を行っていく必要があったのです。このような行動は、担当者個人の仕事として押し付けておしまいというものではありません。そのような対応がまかり通ってしまうと、PDCAが機能せず形骸化してしまうことになります。
おそらくソニーにはしっかりした個人情報取り扱いルールがあったものと思われます。しかしながら、どこかでルールが形骸化して、機能しなくなっていたのかもしれません。

個人情報は企業にとっての資産です。中小企業の経営でも同様です。その取り扱いのルールを定め、リスクを認識することは経営改善においても非常に重要な考え方です。大きく悲しむべき事件ではありますが、様々な教訓もあります。