ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第18回目です。

今回は個人情報の保管に関する統制活動について解説しましょう。

個人情報の取得から利用・加工までのプロセスに関しては明確な社内規定が存在するものの、保管に関しては社内規定上も「適切な方法」といった曖昧な表現になる企業が目立つようです。

しかし、今後は個人情報が漏洩したり、滅失したりすることがないようにルールに則って厳密に保管することが求められます。また実際に、個人情報の保管段階にも、様々なリスクが存在しています。
それでは、個人情報の保管には具体的にどのようなリスクが存在して、どのような統制活動が必要なのか解説しましょう。

■個人情報の保管におけるリスク
具体的に、2つのリスクが想定できます。
●社員が不正に個人情報を持ち出すリスク
●外部からの不正アクセスによって個人情報が持ち出されるリスク

これら2つのリスク対策が不十分な企業で、個人情報漏洩が多発しています。個人情報漏洩は企業イメージを確実に悪化させます。いずれも重視すべきリスクです。

■個人情報の保管における統制活動

リスクを低減できる具体的な統制活動として、下記の3つが考えられます。

1：保管に関するルールの明確化

下記のような保管ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎個人情報ファイルは必ずパスワードを設定して保管する
◎個人情報ファイルを扱える担当者を限定する
◎個人のPCやデスクには個人情報を保管しない
◎バックアップCDなど、個人情報の入った外部記憶メディアは特定の担当者しか入室できない資料庫に保管する

2：IT統制

ルールに頼るだけでなく、次のようなIT統制もリスク軽減に有効です。また不正行為の抑止効果も期待できます。

◎ファイルアクセス制御(ファイル自体に有効期限を持たせる、メールに添付できない機能を持たせる)
◎ファイル暗号化(ファイル自体を暗号化し、第三者に渡った場合も閲覧できないようにする)
◎アクセスログ取得(個人情報のファイルに対して、いつ、誰がアクセスしたのかを自動的に記録する)
◎個人情報ファイル探査(社員のPC内に、個人情報のファイルが不適切に存在していないかチェックする)

3：職務の分離化

担当者(管理者)を2人置き、職務を分離させることで、お互いの業務への客観的なチェックが可能になり、個人情報が不正に持ち出されるリスクを軽減できます。

◎個人情報利用部門担当者(例：営業部)
◎個人情報保管部門担当者(例：情報システム部)

4：管理者による定期的な確認作業

上記2人の担当者が、個人情報の保管に関する社内ルール遵守状況を定期的に確認することが重要です。

◎認定者以外が個人情報に不正アクセスしていないか
◎社員のPCなどに個人情報が不適切に保管されていないか

いかがでしょう
このような統制活動を実施することで、個人情報の保管に関わるリスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備しながら、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の廃棄における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。