個人情報保護体制を強固なものにしなければいけないJAPHICマーク取得企業は、当然社内での対策のみを講じれば良いというわけではありません。
自社が保有する個人情報の持ち出しに関しても、個人情報漏えいのリスクヘッジが必要です。
今回は、JAPHICマーク取得企業が定めるべき個人情報持ち出しの基本ルールを解説します。
JAPHICマーク取得企業の個人情報持ち出しの基本ルール5選
JAPHICマーク取得企業では、従業員が個人情報を持ち出し際、以下のルールを適用することが求められます。
・不要な持ち出しの禁止、最小限化
・持ち出し許可制度の導入
・持ち出す情報の暗号化
・私用デバイスの利用禁止
・不十分なセキュリティの外部ネットワークの利用禁止
各項目について詳しく説明します。
不要な持ち出しの禁止、最小限化
JAPHICマーク取得企業の従業員による個人情報の持ち出しは、業務に必要な最低限の範囲に限定します。
例えばテレワークなどで使用する情報については、そのファイルだけが含まれるUSBやパソコンのみ持ち出しを許可するなどのルールです。
もちろん、一度持ち出した個人情報は、オフィスに帰るたびすぐに持ち出せない状態にしなければいけません。
特に紙媒体については、従業員のカバンの中などに入ったままになる可能性が高いため、注意が必要です。
持ち出し許可制度の導入
JAPHICマーク取得企業の上層部は、従業員が個人情報を持ち出す際の許可制度を導入すべきです。
具体的には情報を外部に持ち出す際、事前に理由や日時、持ち出す情報などを申請し、管理者の許可を得る仕組みを整えます。
ここでいう管理者には、JAPHICマーク取得企業の上層部だけでなく、情報セキュリティ担当者も含まれています。
また許可を得ず無断で個人情報の持ち出しを行った際のペナルティについても、事前に従業員へ周知させておかなければいけません。
持ち出す情報の暗号化
JAPHICマーク取得企業の社外に持ち出す個人情報は、必ず暗号化を施し、パスワードで保護することを義務付けます。
こうすることで、万が一外出先でパソコンやUSBなどの盗難に遭ったとしても、被害を最小限に抑えることができます。
また暗号化の仕組みについては社内でも積極的に採り入れることにより、内部不正への対策にもつながります。
私用デバイスの利用禁止
JAPHICマーク取得企業では、個人情報の持ち出しにおけるインシデントのリスクを減らすために、原則使用デバイスの利用を禁止しましょう。
近年は、従業員が私物のパソコンやスマホを使用して業務を行うBYOD(Bring Your Own Device)という形態の企業が多くなっています。
こちらは業務効率を高められたり、社用デバイスの導入コストを削減できたりする一方で、情報セキュリティリスクの増大につながります。
もし社内ネットワークに接続された私用デバイスの利用を許可するのであれば、それに応じた接続ルールやセキュリティ対策を整備しなければいけません。
不十分なセキュリティの外部ネットワークの利用禁止
JAPHICマーク取得企業が個人情報を持ち出す際は、社外のネットワークに接続してデバイスを使用することもあります。
しかし、例えばカフェなどで利用できる公共のWi-Fiなどについては、持ち出しを行っている際の利用を禁止しなければいけません。
このようなネットワークは、セキュリティが脆弱な可能性が高く、接続することで個人情報漏えいのリスクが高まります。
まとめ
膨大な量の個人情報を取り扱うのがJAPHICマーク取得企業ですが、その中でたった一つでも漏えいしてしまうと、マーク取得企業としての信頼が低下してしまいます。
またそれが従業員の持ち出しによって発生したとなれば、大きな経済的ダメージを負うことも考えられます。
そのため、あくまで業務効率のことは考慮しつつも、個人情報の持ち出しについては厳しいルールを設け、インシデントを防止しなければいけません。
