Home >リスクマネジメント・ラボ >レコード・マネジメント

リスクマネジメントの専門知識・事例を学ぶ

リスクマネジメント・ラボ
第8回 2011年8月
第7回 2011年6月
第6回 2011年3月
第5回 2010年12月
第4回 2010年9月
第3回 2010年6月
第2回 2010年3月
第1回 2009年10月

ISO15489に準拠した記録管理の基本とリスクマネジメントの基礎を学ぶ
レコード・リスクマネジメント研修コース」開催中
渡邊 健  
2回

えっ!カードの不正利用?
 先日、ある大手カード会社から職場に電話がありました。「今朝、米国経由でお客様のカード決済を利用したWeb通販会社へのアクセスがありました。認証に失敗して購入に至らなかったようですが、お心当たりございますか?」という先方の質問にドキッとしました。私のクレジットカード番号が何者かに盗まれ、カードが不正利用されていたのです。結局、当該カードは破棄し、新しいカードを再発行してもらうことになりました。カード会社の説明によると、今回、私と同時期に同じようなトラブルに巻き込まれた人が複数いたようです。共通項としては、海外、特にハワイを含む米国、英国などでのカード利用の実績が挙げられるとのこと。
 カード会社の担当者の対応は大変的を射ていました。経緯説明はもちろん、私自身の本人確認もしっかりしており、好感が持てました。上述の不正アクセスの内容、不正を取り巻く状況、他の不正利用の可能性など、こちらからの質問には手元の記録を参照しながら的確に応答してくれたのです。このカード会社の顧客情報に関するレコード・マネジメントは良好な水準にある、と判断しました。

個人情報保護法
 私が体験した「事件」は、個人情報の取り扱いに関することですが、皆さんご存じのように、2005年に「個人情報の有用性に配慮しつつ、個人の権利利益を保護」する目的で個人情報保護法が施行されました。個人情報取扱事業者(5,000人を超える個人情報を扱っている事業者)には主に以下のような義務が課せられています。

<個人情報取扱事業者の義務等>

(1)利用目的の特定、利用目的による制限
  ・個人情報を取り扱うに当たり、その利用目的をできる限り特定
  ・特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いの原則禁止

(2)適正な取得、取得に際しての利用目的の通知等
  ・偽りその他不正の手段による個人情報の取得の禁止
  ・個人情報を取得した際の利用目的の通知又は公表
  ・本人から直接個人情報を取得する場合の利用目的の明示

(3)データ内容の正確性の確保
  ・利用目的の達成に必要な範囲内で個人データの正確性、最新性を確保

(4)安全管理措置、従業者・委託先の監督
  ・個人データの安全管理のために必要かつ適切な措置、従業者・委託先に対する必要かつ適切な監督

(5)第三者提供の制限
  ・本人の同意を得ない個人データの第三者提供の原則禁止
  ・本人の求めに応じて第三者提供を停止することとしており、その旨その他一定の事項を通知等している
   ときは、第三者提供が可能
  ・委託の場合、合併等の場合、特定の者との共同利用の場合(共同利用する旨その他一定の事項を通知
   等している場合)は第三者提供とみなさない

(6)公表等、開示、訂正等、利用停止等
  ・保有個人データの利用目的、開示等に必要な手続等についての公表等
  ・保有個人データの本人からの求めに応じ、開示、訂正等、利用停止等

(7)苦情の処理
  ・個人情報の取扱いに関する苦情の適切かつ迅速な処理

 個人情報について適切な保護措置を講ずる体制を整備している事業者を認定する制度として、プライバシーマーク制度(JIS Q 15001)があります。個人情報を取り扱う主要なアウトソーシング事業者はプライバシーマークの認定を受けることが半ば常識になっています。従って、業務委託先の選定に当たっては、プライバシーマークの認定を受けているかどうかは一つの判断基準になろうかと思います。
 但し、あくまで重要なのは制度対応よりも運用です。個人情報取扱事業者には、実際にトラブルが発生するリスクを想定して、実効性のあるリスクコントロール策を講じることが求められますし、業務を委託する企業は、単なる認定の有無だけでなく、定期的な運用実態の監査などを通して、委託先の監督を行う必要があるでしょう。

相次ぐ個人情報漏えい事故
 大手証券会社や保険会社から大量の個人情報が流出、或いは消失したというニュースが続いています。不幸にも個人情報の不正利用につながっている事例もあります。最近では、起きてしまった漏えいの公表はかなり迅速になされているようです。他方、流出時期、流出経路、流出した情報の範囲、流出の原因などを特定するのに時間を要する事例も多く見受けられます。
 レコード・マネジメントの観点から考えると、まず、漏えいした事実が把握できる仕組みを持っていることは当然ですが、記録・情報の生成から利用、最終処分に至るまでの状況をトレースできるようにしておくことが重要です。もう少し具体的に言えば、記録・情報が扱われた時期、場所、内容がすぐに特定できれば、何か起きた時でも、「これ以上は被害が拡大することはない」などという確定的な説明を、証跡をもって行うことができるのです(挙証説明責任)。
 “災い転じて福となす”。私の巻き込まれたトラブルを処理してくれたカード会社の担当者のように、きちんと自信を持って対応することができれば、トラブル処理は逆に大きな信頼獲得の場となるはずです。レコード・マネジメントは決して法律や制度に対応することだけを目的に課せられる「重荷」ではありません。組織活動の記録をしっかり管理していくことで、組織を守り、組織の競争力を高める取り組みです。
 “レコード・マネジメントは組織を魅力的にする”というのは少々、言い過ぎでしょうか(笑)。

『月刊ISOマネジメント』(日刊工業新聞出版社刊)/RMCAリレー連載⑥「企業経営を強化する実践リスクマネジメント講座」/2009年11月号掲載

執筆者:渡邊 健(わたなべ つよし)
 公認内部監査人(CIA)/シニアリスクコンサルタント®
 山口大学 産学公連携・イノベーション推進機構 客員研究員
 株式会社データ・キーピング・サービス 執行役員 社長室長
 http://www.dks.co.jp/
 レコード・リスクマネジメント研修コース講師