業務分掌の件です

個人情報の管理について、それらの情報を管理する適切な部署は何処でしょうか？
弊社は100億規模の企業で、社内には従業員、EC顧客様、店舗顧客様などの個人情報があります。
web上で登録される情報、店舗で用紙にて自筆のものなど様々なのですが、これらを管理・運用し、社外に個人情報の基本方針を作成、発信していく部署が決まっておりません。
殆どの情報は顧客様の購買分析をし、今後の営業戦略を立てるために運用することが目的です。
組織上管理部門のどこかの部署が受け持つのが適当とは思いますが、何処の部署かというのを決めかねています。
弊社の管理部門は、人事部、総務部、システム部、経理部、経営管理部、経営企画部が存在しますが
どの部署が適切でしょうか？
ご教授いただければ助かります。
宜しくお願い致します。

No.1 回答者： 北のトラさん 回答日時： 2016/02/14 17:37

Ｐマークの主任審査員を務めておりました。

　

参考までに、回答させていただきます。

１　プライバシーポリシーを作成し公表する。　→　取締役会の承認を得て、代表取締役名で発表する。

２　個人情報保護管理者を定める。　→　現在では、指揮命令の観点から、役員以上の個人を代表取締役が指名する。

３　個人情報保護監査責任者を定める。　→　会計監査関係業務担当者以外から、２と同様に専任。
　　　　　　　　　　　　　　　　　　　　　現在では、システム監査能力のある人材が臨まれています。

４　個人情報保護管理委員会を設置する。　→　各部署から最低一人、できれば複数名選出し、委員会を構成する。
　　　　　　　　　　　　　　　　　　　　　　その際、委員会での決定事項が各部署に確実に伝わるような人材が適正とされています。

　それから、個人情報保護法、経済産業省のガイドライン、ＪＩＳＱ１５００１：２００６、番号法等を参照・活用し、
　個人情報保護マネジメントシステム（ＰＭＳ）及び関係細則（１０～１６）を作成しなければなりません。

　基本的に、個人情報は一部署・部門が管理するものではなく、前述の事項以前に、

　①　個人情報の特定
　②　個人情報毎のリスクの特定
　③　個人情報毎のリスク毎の対策　
　④　対策できないリスクに関する会社方針・対応（保険をかける等）　　

　等々、各部署・部門で、日々の業務、月ごとの業務、年度毎の業務等の流れ図から
　各項目を列挙し、個人情報であるか否かの特定から始める必要がありますので、
　貴社の規模では、委員会を設置して、会社全体で取り組むべき業務ではないかと考えます。

　昨今の、漏洩事故を見ていますと、一件につき￥１０，０００前後の賠償・補償がレートになってきています。
　これに、個人番号を含めて管理している状態で漏洩した場合、その被害は甚大なものになります。

　特定作業を始め、規程・細則の策定等には厳しいものがありますが、是非、委員会を設置して、
　全社的特別プロジェクトのつもりで、緊急課題として取り組まれることを、お勧めします。

この回答へのお礼

お礼が遅くなり申し訳ありません。
ありがとうございます。

お礼日時：2016/02/23 17:06