― 「人的対策」の盲点とJAPHICなど認証取得による対策のヒント ―
★個人情報保護法では4つの「安全管理措置」が求められています。
その中でも「人的安全管理措置」の重要性を認証事業者様には訴えてきております。
人的安全管理措置=従業員教育です。この重要性は繰り返ししかありません。
悪いことする人はいます。それを瀬戸際で思いとどまらせる「繋がり」を持てているか、今一度自社の体制を確認するきっかけになればと思います。
🔹事件概要:元従業員が在職中に取得した個人情報を不正流用
2024年10月、コンサルティング業界やIT業界に特化した人材紹介サービスを展開するアクシスコンサルティングにおいて、元従業員による不正な個人情報持ち出しが発覚しました。
- 利用者から「元従業員より連絡があった」との報告がきっかけ
- 社内調査により、転職先企業に情報が流出していたことが確認
- 流出した情報件数:1,306名分
- 氏名・住所・電話番号・メール・生年月日・勤務先など詳細な内容
- クレジットカード情報は含まれておらず、経済被害は回避
🔍 なにが問題だったのか?
本件から明らかになったのは、組織的・技術的・物理的な安全管理措置が整っていても「人的管理」が不十分であれば意味を成さないという現実です。
❗ 想定される内部リスク
- アカウント停止のタイミング遅れ
- 機密情報取り扱いルールの周知不足
- 退職者に対する監視・教育体制の不備
- 従業員による情報持ち出しへの警戒意識の欠如
🛡 なぜ「人的安全管理」が重要なのか?
セキュリティ対策は「組織的・物理的・技術的・人的」の4層の安全管理措置で構成されますが、3つが整っていても最後の「人」=従業員教育の甘さが最終的な抜け道になります。
- パスワードの取り扱い
- 顧客情報の利用ルール
- 持ち出し制限の認識
- 転職後もデータを利用する倫理意識の欠如
✅ 再発防止のために必要な3つのこと
- 退職・異動時のチェックリスト整備
⇒ アカウント削除・端末回収・誓約書再確認などルーチン化 - ログ監視体制の構築
⇒ 「誰が」「いつ」「何に」アクセスしたかを自動記録・警告 - 従業員教育の定期化・実践化
⇒ 座学だけでなく「ヒヤリハット事例」などリアルなケース共有
🏆 マネジメントシステム導入のススメ
こうした人的対策を仕組みで支えるために有効なのが、JAPHICマークなどの認証制度です。
🔐 認証取得によるメリット
- 「教育・監査・管理」の運用をルール化できる
- 第三者の視点で定期チェックが入る=ルールを運用に落とし込む教育の徹底ができる
- 対外的な信頼を確保できる(クライアント・社内)
📝 まとめ
- 内部犯行はどの企業にも起こりうる
- 技術・物理対策だけでは足りない
- 「教育・仕組み化」がセキュリティ対策の鍵
- JAPHICなどの認証取得は、企業の“守り”を制度で強くする道標
今日は、ある方から「悪い人さえいなければ、こんな対策はいらないのに」と言われました。
その方は、スマホで個人情報を登録するようなサービスは一切使わない、という徹底ぶり。
「悪い人がいるから、個人情報は使わない」――ある意味、究極の選択です。
けれど、現実にはどうでしょうか。
私たちは車という便利な移動手段を手に入れたら、もう馬車の時代には戻れませんでした。
同じように、スマホやAIといった便利な技術に触れた今、使わない世界に戻ることは難しいはずです。
「危ないから使わない」ではなく、「危ないからこそ、どう安全に使うかを学ぶ」。
その意識が、私たちの暮らしや仕事をもっと広げてくれるのではないでしょうか。
JAPHIC審査事務局の研修動画に、派手さやカッコよさはないかもしれません。
でも、不器用ながらこの一歩の積み重ねの先に、貴社の従業員だけでなく、そのご家族にも“個人情報を大事に扱う大切さ”が伝わっていく未来があると信じています。
個人情報の扱い方や考え方は、やがて「文化」になります。
日本の個人情報文化は、まだまだこれから。
一緒に、じっくり丁寧に育てていく仲間が増えると嬉しいです。
JAPHIC気になった方はどうぞお気軽にお問い合わせください。