個人情報保護の推進体制は下図のようなものが望ましいとされています。
CPOは役員
個人情報保護管理者=CPO(Chief Privacy Officer)は、組織の個人情報保護の最高責任者です。
「管理者」というとたいしたことなさそうですが、CPOというと偉い人のように聞こえますね。
各種ガイドライン等でCPOには役員が就任することが望ましいとされています。現場任せにしてはいけない、経営者レベルに個人情報保護の責任者がいないといけないということですね。
管理委員会は横断組織
個人情報管理委員会は、個人情報保護推進のための意思決定機関です。各部門の役割と権限を分配したり個人情報保護方針を策定することがその職務となります。
管理委員会には、総務部、人事部だけでなく各部署の業務を熟知した人を部門横断的に招集するものとされています。
組織の意思決定機関ですから公式の組織として位置づけられる必要があります。
事務局は実務担当
事務局は組織内部の調整機関です。個人情報保護方針を具体化する各種規程を整備・周知すること、従業者を教育することなど実務を担当します。
監査責任者は独立性が命
個人情報保護監査責任者は、個人情報の取扱いが組織において規程どおりに実施されているかをチェックします。
独立性が重要なので、監査責任者は個人情報管理委員会やCPOとの兼任は認めるべきでないとされています。
苦情対応
苦情対応は三段構えの体制で
苦情対応の流れは2回に1回くらいの確率で出題されています。
苦情対応はまず「苦情・相談窓口」で行ない、解決すればそれで良し、しなければ個人情報取扱部門が対応します。個人情報取扱い部門の対応で納得が得られなければ事務局で対応します。「責任者でてこい!」といわれてもすぐに責任者が対応するのはよくないとされているのです。
苦情・相談窓口→個人情報取扱い部門→事務局の三段構えの体制で対応するという構造をおさえるようにしてください。
事故対応の留意点
最優先は事実確認です。漏えいした個人情報の項目や件数を確認するのが先決です。
次に、可及的速やかな公表です。時間がたてばたつほど被害が拡大するからです。事故の全容が明らかでなかったとしても、なるべく早く判明している事実を公表し謝罪した方が心証が良く評判の悪化が避けられるとされています。
被害者対応も早ければ早いほどよいです。クレジットカードの利用停止などすばやく手を打てば実害の発生を防ぐこともできるからです。
また、認定個人情報保護団体の対象事業者である場合は認定個人情報保護団体の苦情処理による問題解決につながることも期待できます。対象事業者は事故発生の事実を認定個人情報保護団体に報告すべきです。個人情報保護員会は個人情報の取扱いに関する勧告・命令権を持っていますので、事故発生時には個人情報取扱事業者の側から報告するのがよいでしょう。
最後に、漏えいのルートや欠陥など原因を究明し、再発防止策を策定してこれを公表すべきです。