ドクターQがお届けするIT統制ブログ　ITサプリ

内部統制に対応した、より安全性の高いシステム構築に向けての具体的な対策、第16回目です。

さて、今回は個人情報取得における統制活動に関してです。

企業のマーケティング活動や販促活動にとって、個人情報の取得は非常に重要です。しかし一方で、個人情報保護法を遵守することも不可欠です。コンプライアンスの観点から、個人情報の取得にあたっては、その利用目的をクリアにすることが要求されます。例えばIT系企業にとって、メールマガジンの会員登録と、セミナーやイベント情報を告知するダイレクトメールの発送は全く別の目的です。登録時に通知することなく、ダイレクトメールを勝手に送付できません。
個人情報取得の段階でも、様々なリスクが存在しています。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報取得におけるリスク
大きく分けて、下記の3つのリスクが想定できます。
◎利用目的を未通知で取得してしまうリスク
◎間違った利用目的を通知して取得してしまうリスク
◎不適切な方法で取得してしまうリスク

■個人情報の取得における統制活動
前述のようなリスクを軽減させる統制活動として、具体的に下記の4つをあげることができます。

1：取得ルールの明確化
取得にあたって、下記のように方針や手続きを明確にし、全社員へ教育を徹底する必要があります。
●全社統一のプライバシーポリシー(個人情報の取り扱いに関する基準・方針)を明文化する
●個人情報を新規に獲得する場合は利用目的や通知内容に関して、法務セクションなどの管理部門に対して必ず事前確認を行う
●個人情報の取得状況を安全性の高いデータベースで管理する
●社内での個人情報の利用状況と利用目的の通知内容を定期的に見直す

2：登録者への通知を徹底でき、かつ安全性の高いホームページ構築
現在では、ホームページ経由で個人情報を登録するケースが大半です。個人情報を取得するためには、登録前に必ず自社のプライバシーポリシーを通知することはもちろん、つねにプライバシーポリシーを閲覧できるようにホームページを構成する必要があります。合わせて、SSLの導入といった安全性を確保することも重要です。プライバシーポリシーには、具体的に下記の内容が網羅されていることが望ましいと思われます。

※個人情報保護方針
※個人情報の利用目的について
※個人情報の外部委託先への開示について
※個人情報の第三者提供について
※開示等の求めに応じる手続き等
※個人情報に関するお問い合わせ窓口
※クッキー(Cookie)について
※SSLについて
※お客様のアクセスログ・履歴情報について

3：職務の分離化
職務を分離させることでチェック機能の二重化が可能になり、リスクを軽減できます。
※個人情報の取得(例：営業部)
※利用目的の通知内容と通知方法に関する確認(例：法務部)

4：管理者による定期的な確認作業
営業部などの管理者が、個人情報の利用目的の通知状況を定期的に確認

このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の利用と加工における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。