PR
十五、Pマーク 下請け優遇 最善策

 数年前、弊社はP(プライバシー)マークを取得しました。決して早かったわけではないのですが、「個人情報の保護について業界でも意識が高かった」というのが、社長の口癖でした。

 私は、Pマークを取得するプロジェクトメンバーの一員だったのですが、本件について調べてみて驚いたことがあります。Pマークを取得していても個人情報を漏洩してしまう企業があるということです。理由の一つは、取引先企業からの漏洩です。自社でいくら情報管理を徹底しても、取引先から洩れてしまうことはあり得るのです。

 対策として、情報セキュリティを強化するために、システム改善の一部作業をあるITベンダーに委託したとき、テスト環境とデータの貸し出しにあたって手順書つきの覚書を交わしました。もし、そのベンダーの担当者や、そのベンダーが下請けで使っている企業の担当者がその気になれば、データを持ち出すことは簡単です。USBメモリーに移し、それをポケットに入れて持ち出されたら、とても分かりません。ログを追いかけてデータにアクセスした人物を後から特定できたとしても、漏洩したデータが返ってくる訳ではありませんし、失った信用は取り戻せません。

 覚書があるから大丈夫というわけでももちろんありません。ベンダーや下請けとコミュニケーションをとる中で、心理的に牽制をかけるとか、危なそうな人物を特定して注視する、といった注意を払いました。それでも、ベンダーを冷遇したらダメでしょう。このあたりに、覚書の文章を超えた個人情報保護策のコツがあるのではないでしょうか。


(「経営とIT」川柳研究会 編)