最初は計画のステップです。計画のステップは「自社にある情報とリスクの洗い出し」と「情報管理規程の作成」の2つに大きく分かれます。

まず、自社に存在している情報(特に、外部に流出したら問題になるようなもの)を選び出して「情報一覧表」にします(図1)。この一覧表には、それぞれの情報の名前(名前が付いていない場合は名前を付けましょう)、管理している部署や担当者の名前、保管形態(紙なのかデータなのか)、情報の内容(どんな情報なのか)、利用目的(何のための情報なのか)、件数、廃棄予定年月などを記入していきます。

続いて「リスク管理表」を用意し、情報一覧表に明記した情報に関する取り扱いの流れをまとめていきます(図2)。ここでは、「どこから入手して、どこで利用して、どこで保管して、どのようにして廃棄するのか」を簡単に文章で表現します。そして、そのそれぞれの局面でどのようなリスクが考えられるのかをリストアップしていきます。

図1 情報一覧表のフォーマット例

図2 リスク管理表のフォーマット例

リスクが明らかになったら、そのリスクを抑えるための対策を考えて「情報管理規程」にしていきます。とはいえ、規程を最初から作成するのは大変です。このような規程を作成する際は、やはり何らかの実績のあるものをモデルとして採用し、自社に合わせて書き直していくのがポイントです。

図3 個人情報保護安全対策管理規程(雛形) 資料:コンピュータソフトウェア協会

本稿では、PDCAサイクルに基づいた情報管理体制を社内に構築することをお勧めしていますが、このPDCAサイクルに則った規程の雛形の1つとして、社団法人コンピュータソフトウェア協会がプライバシーマークの取得を目指す事業者向けに無償で配布しているものを紹介しておきましょう(図3)。

これを使用すれば、比較的容易にPDCAサイクルに従った情報管理体制を構築できると思います。 リスク管理表の作成過程で明らかになったリスクが、この規程で基本的にすべて網羅されていることを確認し、漏れがある場合は規程に対策を追記していきます。 なお、規程の中には下記のような項目も含めるようにしてください。

  • 適用範囲
  • 用語および定義
  • 関連法令、ガイドラインなどの確認
  • 情報管理のための体制と各自の役割
  • 委託先の監督
  • 社員に対する教育
  • 社内監査
  • 代表者による見直し
  • 万一の緊急事態への準備
  • 改定方法

規程が完成したら「リスク管理表」の対策の欄に戻り、それぞれのリスク対策について、規程のどの部分で明記されているのかを書き込みます。これにより、自社の情報の実態と、具体的な対策を一元的に管理できるようになります。