個人情報保護と企業の責任

先日、プライバシーマーク審査員の継続研修に参加してきました。
今日はその話題をひとつ。
内容は重いのでさらりと。

今回の課題は
「ソーシャルメディア時代における個人情報保護について」。

ソーシャルメディアの定義にはじまって、その仕組み、活用事例を速習。
その後、トラブル事例をいろいろ学びました。

ここでは具体的事例は省きますが、うっかりミスから炎上した例や、
企業情報が流出した事例には枚挙にいとまがありません。

そうした事例を前にして、プライバシーマーク審査員がどのような点に着目し
業務フローの改善を指摘するのかというのが今回のメイン課題。
個人流出がどうのとかいう話よりも、マネジメントが中心の研修でした。

スマートフォンの管理についても、話がありましたが、それは次の機会にでもお話しましょう。スマートフォンの場合は、どちらかというと、情報セキュリティの技術面のことが中心でした。

その中でウェブ解析士のみなさんにも参考になるポイントをかいつまんで紹介しましょう。

まずはソーシャルメディアについて。

[1] 業務利用可否の明確化
 自社のソーシャルメディアへのスタンス(業務利用可否)を明確にする。
 案外、明確にしていない企業が多いのでは?

 何もしなくてもリスクがそんざいするのであれば、むしろきちんとした
 ポリシー、あるいはガイドラインを設け、その上で積極的にソーシャル
 メディアを利用しようとするスタンスが重要です。

 暗黙知とせず自社のソーシャルメディアへのスタンスを明確にして
 組織知にすることが望まれるってことですね。

[2] 従業者用ガイドラインの策定
 ソーシャルメディアを企業活動として利用するか否かにかかわらず、
 従業者用ガイドラインを策定するとともにソーシャルメディアの特性、
 リスクなども含めて従業者教育をすることが重要です。
 いろいろな会社がすでに公表しています。
 探してみることをオススメします。たくさんありますよ。

 例:従業者用ガイドラインに盛り込むことが望ましい14項目
 (詳細は省略)

 あなた(ウェブ解析士)の立場からでも提案することが可能ですね。

[3] ソーシャルメディア・ポリシーの公表
 自社内外の人々に、自社のソーシャルメディアを使用する目的、姿勢を理解してもらう。
 特に、「自社に関するソーシャルメディアから発信された情報が、すべて自社からの
 公式な見解を示すものではありません。」を告知しておくことが大切です。
 また、自社の公式なTwitterやFaceBookのアカウントを公表し、それ以外は、
 個人的なものとして区分を明確にしておくことがポイントとなります。
 そうでないと、いざというときに申し開きができません。

[4] アカウントの管理
 企業活動として使用する公式アカウントは、許可された者だけが運用できる権利をもつアカウントであり、自社の考えを反映したものであるため、IDやパスワードを適切に管理する必要があります。
 だれでも利用できてしまうのは問題。
 きっちりと社内で管理されていなければなりません。

[5] 運用体制の整備
 企業問い合わせや苦情対応も含めて、運用体制を整備する必要があります。
 誰が草案を作るのか、どのようなスタイルで発信するのか。
 寄せられた意見については、どのように社内でシェアしていくのか。

内容はたくさんあって紹介しきれませんが、全体のイメージはこんな感じでした。
固い内容なんで、興味のない方にはつまらない記事かもしれませんね。

でも、あらためて個人情報の保護って大変だと痛感しました。

あなたのクライアントのユーザー情報。大丈夫ですか?