安倍首相のクレジットカードと個人情報保護法への対応
さて、今回は直接的にコンピューターではありませんが、広義のセキュリティの観点から記事を書きたいと思います。
安倍首相が焼肉屋で食事したコトを、店長が何をどのくらい飲み食いして、支払いは○○のゴールドだったよ~ん。。。
なんて事が TV で放映されてしまいました。
安倍首相は、日本の総理大臣で公人だからしかたない?しゃべる店長も店長だが、ピー音も無しに放映する方もいかがなものか?そもそも総理の個人情報じゃ?などと巷では盛り上がっています。その焼肉屋には苦情の電話が引っ切り無しにかかってきており、営業もままならない様子です。
リアルな店舗が炎上、ってヤツですね。
この様な事にならないためには、セキュリティの知識が必要です。
実は、以前(個人情報保護法が制定される前)からお客の名前と住所を控えて、定期的にDM(ダイレクトメール)送ってるんだけど、個人情報保護法を考えると、ちゃんとお客の了解を得ないとまずいのかな?と、言うような質問を個人事業者の方からいただきました。
個人事業者でも、DMを送ったり、お店のポイントカードを管理したりしていますよね?
その時、特定のお客様に対して、特定のサービスをしていますが、それはお客様個人の情報があってこそできるサービスです。
さて、個人情報、特に個人情報保護法においてはナニが個人情報であるかを認識する必要があります。
個人情報保護委員会のドキュメントがあるので参考に
ココで、個人情報とは個人を識別できる情報とあります。住所・氏名・生年月日や顔写真・指紋などの生体認証データ、免許や旅券などのIDも個人を特定できるのでこれにあたります。
また、この5月から全ての事業者が対象になりました。参考資料
法律は何となくわかりましたが、どうしたらいいのでしょう?
わかりやすく解説しましょう。
1.事業者のポリシーを決める
ポリシーとか言うと難しそうに聞こえますが、コレがセキュリティへの第一歩です。個人情報保護委員会のドキュメントにもあるように、何に使う?どうやって管理する?第三者に渡さないなど事業上で個人情報をどのように扱うか決めてください。
わかりきった事でもきちんと決めてください。
この時に決めたことが、あなたの事業での個人情報取扱のベースになります。
2.ポリシーは公表できるようにする
上記の1で決めたあなたの事業における個人情報の取扱についてドキュメント化してください。
ホームページ、ブログなどお持ちですか?その場合、お客様がいつでも確認できるようにリンクをどこかに置いてください。
もし、ネットサービスを使っていないならば、印刷しておいてください。少なくとも、聞かれたお客様にすぐ渡せる必要があります。
この資料を元に、新しく従業員やバイトを雇ったときも、あなたの事業でのポリシーを説明できます。
3.個人情報の保管方法
だれでもアクセスできるところではよくありません。紙であれば、最低でも鍵のかかる所へ保管、鍵の管理者を決めておくくらいは必要です。
パソコン、あるいはクラウド上への保管を行う場合も、やはり特定の管理者のみがアクセスできるようにしてください。ベネッセの様な事件を個人の塾などで起こされてはたまったものではありませんからね。
また、コンピューター上への保管はクラウドをオススメします。USBやSDカードでは、持って行かれてはお終いですよ。
最低でも、この3点は抑えてください。この3つを決めておけば事業主+数名のパートやバイト、あるいは従業員の構成ならば問題ないと思います。
気をつけなければならないのは、事業規模が拡大したときです。拡大規模に合わせたリスク管理、カスタマー対応などより細分化した対応と責任部門の明確化、内部コミュニケーションの見直しなども必要になるでしょう。1店舗でやっていた事業を3店舗に増やす場合など、事前に考慮しないと「リアルな店舗が炎上」となります。
さて、冒頭の安倍首相の件は個人情報保護法における「個人情報」でしょうか?
答えは、☓ですね~
この件は、個人のプライベートを第三者が勝手に暴露したものになります。つまりプライバシーの侵害にあたります。
どちらにせよ、正しい行動ではありませんね。
問題の店長というのが、雇われ店長なのかわかりませんが、従業員の行動を適正なものとするためにもポリシーは必要です。
個人情報に関するポリシーとともにお客様のプライベートに関するポリシーも決めておく、そんなセキュリティ思考が無いとこの様な事件は未然に防ぐことはできません。
安倍首相が焼肉屋で食事したコトを、店長が何をどのくらい飲み食いして、支払いは○○のゴールドだったよ~ん。。。
なんて事が TV で放映されてしまいました。
安倍首相は、日本の総理大臣で公人だからしかたない?しゃべる店長も店長だが、ピー音も無しに放映する方もいかがなものか?そもそも総理の個人情報じゃ?などと巷では盛り上がっています。その焼肉屋には苦情の電話が引っ切り無しにかかってきており、営業もままならない様子です。
リアルな店舗が炎上、ってヤツですね。
この様な事にならないためには、セキュリティの知識が必要です。
実は、以前(個人情報保護法が制定される前)からお客の名前と住所を控えて、定期的にDM(ダイレクトメール)送ってるんだけど、個人情報保護法を考えると、ちゃんとお客の了解を得ないとまずいのかな?と、言うような質問を個人事業者の方からいただきました。
個人事業者でも、DMを送ったり、お店のポイントカードを管理したりしていますよね?
その時、特定のお客様に対して、特定のサービスをしていますが、それはお客様個人の情報があってこそできるサービスです。
さて、個人情報、特に個人情報保護法においてはナニが個人情報であるかを認識する必要があります。
個人情報保護委員会のドキュメントがあるので参考に
ココで、個人情報とは個人を識別できる情報とあります。住所・氏名・生年月日や顔写真・指紋などの生体認証データ、免許や旅券などのIDも個人を特定できるのでこれにあたります。
また、この5月から全ての事業者が対象になりました。参考資料
法律は何となくわかりましたが、どうしたらいいのでしょう?
わかりやすく解説しましょう。
1.事業者のポリシーを決める
ポリシーとか言うと難しそうに聞こえますが、コレがセキュリティへの第一歩です。個人情報保護委員会のドキュメントにもあるように、何に使う?どうやって管理する?第三者に渡さないなど事業上で個人情報をどのように扱うか決めてください。
わかりきった事でもきちんと決めてください。
この時に決めたことが、あなたの事業での個人情報取扱のベースになります。
2.ポリシーは公表できるようにする
上記の1で決めたあなたの事業における個人情報の取扱についてドキュメント化してください。
ホームページ、ブログなどお持ちですか?その場合、お客様がいつでも確認できるようにリンクをどこかに置いてください。
もし、ネットサービスを使っていないならば、印刷しておいてください。少なくとも、聞かれたお客様にすぐ渡せる必要があります。
この資料を元に、新しく従業員やバイトを雇ったときも、あなたの事業でのポリシーを説明できます。
3.個人情報の保管方法
だれでもアクセスできるところではよくありません。紙であれば、最低でも鍵のかかる所へ保管、鍵の管理者を決めておくくらいは必要です。
パソコン、あるいはクラウド上への保管を行う場合も、やはり特定の管理者のみがアクセスできるようにしてください。ベネッセの様な事件を個人の塾などで起こされてはたまったものではありませんからね。
また、コンピューター上への保管はクラウドをオススメします。USBやSDカードでは、持って行かれてはお終いですよ。
最低でも、この3点は抑えてください。この3つを決めておけば事業主+数名のパートやバイト、あるいは従業員の構成ならば問題ないと思います。
気をつけなければならないのは、事業規模が拡大したときです。拡大規模に合わせたリスク管理、カスタマー対応などより細分化した対応と責任部門の明確化、内部コミュニケーションの見直しなども必要になるでしょう。1店舗でやっていた事業を3店舗に増やす場合など、事前に考慮しないと「リアルな店舗が炎上」となります。
さて、冒頭の安倍首相の件は個人情報保護法における「個人情報」でしょうか?
答えは、☓ですね~
この件は、個人のプライベートを第三者が勝手に暴露したものになります。つまりプライバシーの侵害にあたります。
どちらにせよ、正しい行動ではありませんね。
問題の店長というのが、雇われ店長なのかわかりませんが、従業員の行動を適正なものとするためにもポリシーは必要です。
個人情報に関するポリシーとともにお客様のプライベートに関するポリシーも決めておく、そんなセキュリティ思考が無いとこの様な事件は未然に防ぐことはできません。
わからないコトは、ご相談ください。
船橋の頭脳、Lightning Brains
船橋の頭脳、Lightning Brains
コメント
コメントを投稿