【第10回】企業の個人情報保護法対策の実情とPDCAチェックの重要性（前編）

個人情報保護法が施行され、3カ月が経とうとしている。現在のところ、法によって摘発された大きな事件などは起きてはいない。しかし、コンプライアンスへの取り組み体制を開示している企業は少なく、実態はどのようになっているかは疑問も多い。そこで今回は情報セキュリティに明るい新日本監査法人 大阪事務所の澤井正之氏に、企業の内情と効果的な対策について話を伺った。

--新日本監査法人様では、個人情報保護法に関連する様々なサービスを手がけていると聞いています。

新日本監査法人 大阪事務所 アドバイザリーサービス本部 システム監査部　澤井正之氏
1996年 広島大学工学部卒　大手製造業の情報システム部門を経て、2003年5月より現職。テクニカルエンジニア（ネットワーク）、情報セキュリティアドミニストレータ、システム監査技術者。

澤井氏　現在、当法人のサービスメニューとしましては、ホームページの通りです。大阪事務所では個人情報保護法に関連したサービスメニューとして、「個人情報保護法対応クイック診断」「個人情報セキュリティ監査」「個人情報保護法体制支援」の3つのサービスを中心に提供しています。

　 「個人情報保護法対応クイック診断」は、その名の通り、個人情報保護法に対応できているかを短期間で診断するサービスです。「個人情報セキュリティ監査」は、監査などに必要なチェックリストの作成やリスク評価などを支援します。「個人情報保護法体制支援」は、社員教育、プライバシーマークやISMS認証の取得、監査の結果の改善策など、本格的な支援を行うサービスとなっています。目標が見えているユーザには取得支援、見えていないユーザにはクイックチェックとレベルに合わせて用意しております。またセキュリティ製品の選定支援も行います。

--個人情報保護法が施行される以前と後では、御社のサービスに対する需要の変化などはありましたか？　また、実情についてお聞かせください。

澤井氏　施行前と施行後を比較すると、需要にはほとんど変化はありません。ただ、施行をきっかけに実施した企業とそうでない企業には大きな意識の差が生まれているという印象は受けています。

　実情に関してお話しすると、対外的なプライバシーポリシーの提示などを積極的にする風潮は強まりましたが、中身は整備されていないという印象を受けます。多くの企業は施行に伴い、個人情報保護対策を実施しようと考えたものの、どこから手をつければよいか分からないとか、どのように実施したらよいかが分からずに、模索している状況を多数見かけます。

　個人情報保護のためのガイドラインが、官公庁をはじめ、様々なところで提示されていますが、自社がそれに本当に則すことができているのかが、判断できないという状況ですね。そうしたことから、弊社のサービスを利用するケースが増えています。

　情報セキュリティは、PDCA（Plan-Do-Check-Action）サイクルの繰り返しと言われていますが、うまくいっていない企業の多くは、「Plan」、つまり計画の時点でつまずいてしまうことが多くあります。体制の整備や規定の策定の計画がうまく立てられないということです。これはビジネスプロセスに則することより前の問題ですので、まずは診断を受けて弱点を発見することを勧めています。