ISO総研山口日記/ISMS/ISO27001/ISO9001

最近飲酒運転に関するニュースが多い。
またニュースの中で出てくるグラフでは
飲酒運転の検挙件数が増えているというデータ。

果たして飲酒運転は増えたのだろうか？

もしかしたら飲酒運転の取締りを強化したかもしれない。
これまで潜在的だった地方での検挙件数が飛躍的に上が
ったのかもしれない。

なので、実際のところは飲酒運転が増えたかどうかは
実際のところはわからない。

しかしニュースで「飲酒運転件数が増えています」
「件数の推移はこんな感じです」

と言われるといかにも増えているように感じる。

飲酒運転の検挙件数が増えていることは実は非常に良いことといえる。
あくまでも仮説だが、おそらくこれまで潜在的だった飲酒運転が
取締りの強化によって顕在化してきたと捉えることができるからだ。

よくISOの支援でいろんな会社にお伺いしているが
「不適合はないです」
と言われることが多い。

これは本当に不適合はないのだろうか？
実際は取締りが甘いために検挙できないだけなのではないだろうか？

不適合が増えることは一見問題が多くなったと見えるが
実は改善点が明確になった、取締りが強化され品質保証体制が
より確立されてきたと捉えることができる。

不適合がないではなく、取締りが甘いと考え
ぜひ些細な不適合を増やして欲しい。

やっぱり好きだな、夜の世界の実録もの。
見てしまいまいました。
見方はいろいろあるだろうけど、今回は
すみれママの行動です。
お客様へのプレゼントを1日20万、10日で
200万（くらいだったかな）かかるときもある
とのこと。

やっぱり稼いでいる人、NO.1は何％かの投資
をしっかりしているなあと感じた。

僕らで言えば、ISOに関する技術向上への投資
会社運営に関する投資、事業構築のための投資
社内へのみんなへのケア

なんかが考えられる。
これらをしっかり意識しまたは管理し運営
することが大事なんだろうとかんじた。

またもう一つすごく覚悟を感じた言葉として

「私たちは、銀座の机を借りて商売をしている
個人事業主」

と言った事。全ての稼ぎの責任、その他自分が
銀座で商売していることによって起こる事象全て
は自分に責任があり、自分で切り開くという覚悟
を感じる言葉だなと思う。

自分に起こることをどれほど自分の責任、原因と
して捉えられているだろうか・・・

INTERNET Watchより
http://internet.watch.impress.co.jp/cda/news/2005/04/22/7411.html

みちのく銀行、131万件の顧客情報入りCD-ROMを紛失

　みちのく銀行は22日、約131万件の顧客情報が記録されたCD-ROMを紛失したことを
公表した。紛失したCD-ROMは現時点では発見されておらず、みちのく銀行では誤って
廃棄した可能性が高いとしているが、対象となった顧客に対してお詫びするとともに
専用の問い合わせ窓口を設置し、対応にあたるとしている。

　みちのく銀行によれば、顧客情報が記録された3枚のCD-ROMが所在不明となってい
ることが20日に判明。CD-ROMには、顧客の氏名、住所、電話番号、生年月日、年齢、
預金残高、貸出金残高などの情報が記録されていたという。みちのく銀行ではCD-ROM
の探索を続けているものの、22日現在では発見されず、誤って破棄した可能性が高
いとしている。

　また、CD-ROMにはパスワードなどによるセキュリティ対策を講じているため、外部
に流出した場合でも顧客情報が漏洩する可能性は低いものと考えているとしており、
現時点では情報漏洩による二次被害などの事実も確認されていないとしている。

　みちのく銀行では、個人情報保護法の施行後に今回のような事態を招いたことに
ついて誠に申し訳なく深くお詫びするとのコメントを発表しており、情報漏洩に関す
る専用の問い合わせ窓口を設置して顧客からの対応にあたるとともに、今後はCD-ROM
の一括管理することなど、情報の管理や取り扱いに万全を期するとしている。

＜引用終わり＞

個人情報保護法施行後、初の是正勧告とのこと。紛失は、22日ということで約1ヶ月後
の発表となる。なぜ発表までにそれほど時間がたってしまうのか？それは、事件や事故
が発生したことの対応をどうするか検討されていないためといえる。

プライバシーマークや個人情報保護法に対応してもおそらくそうなることは想定できる。
なぜなら、これらは、個人のために、企業が個人情報をどう守るかを示すものであるから
だ。そういう意味では、企業側のリスクマネジメントのための仕組み、法律でなく、個人の
リスクマネジメントのための仕組み、法律であることを認識しなければならない。
（プライバシーマーク取得時には、緊急事態の連絡体制は構築する）

つまり、極論を言えば、企業が個人情報の紛失・漏洩などのリスクをマネジメントするには、
物足りていないということになる。

個人情報保護法適用組織及びそれに準じる組織はそれを認識した上で、再度リスクマネジメ
ントを検討することが必要だ。特に緊急事態の対応、及び未然防止となりえる、自社及び他社の
事件・事故から学習するための仕組みづくりは力を入れる必要があるのではないだろうか。

朝日新聞より

http://mytown.asahi.com/kanagawa/news02.asp?kiji=6779

生徒情報８３０人分紛失

大和市教委は９日、同市深見西７丁目の市立大和中学校（目代智啓校長、８０１人）
の男性教諭（３２）が車内に置いていた生徒名と住所、電話番号が記された防災名
簿や各教科の評価一覧など延べ約８３０人分の個人情報を紛失したと発表した。
市教委によると、紛失したのは（１）２年生の名前と住所、電話番号が記された
計２６０人分の防災名簿（２）３年生２９人分の部活動連絡網の名簿（３）昨年度
の１、２年生計５３８人に対する各教科の評価一覧（４）部活動中の生徒写真――
など。
７日午前１時半ごろ、男性教諭は大和市深見東３丁目の書店駐車場に駐車していた
自分の軽自動車の窓ガラスが割られているのを発見。車内に置いていた生徒たちの
個人情報が入っていたノート型パソコンやＣＤなどが盗まれていたという。
市教委が定めた個人情報管理マニュアルでは、個人情報の持ち出しは原則禁止で、
やむを得ない場合は、校長の許可が必要と定めている。しかし、男性教諭は校長
の許可を得ていなかった。

引用終わり


本来個人情報の持ち出しは厳禁。
やむをえないときは○○の許可を得る。

こういったルールはよくあるが、実現可能性について
検証されているだろうか？

今回の場合、校長に許可を得るとの事。
確かに個人情報は重要だが、校長が許可するというところに
無理があるのではないだろうか。

また持ち出し厳禁との事だが、本当にそれは実現可能なのだろうか？
大事なことは、個人情報を紛失・漏洩・悪用されないこと。

持ち出しを禁止するのでなく、持ち出す必要性があることを
前提に仕組みを構築する必要があったのではないだろうか？

【ISO考】
構築されたシステムは実現可能か？

【引用】

みちのく銀行、131万件の顧客情報入りCD-ROMを紛失

http://internet.watch.impress.co.jp/cda/news/2005/04/22/7411.html


みちのく銀行は22日、約131万件の顧客情報が記録されたCD-ROMを紛失し
たことを公表した。紛失したCD-ROMは現時点では発見されておらず、み
ちのく銀行では誤って廃棄した可能性が高いとしているが、対象となっ
た顧客に対してお詫びするとともに専用の問い合わせ窓口を設置し、対
応にあたるとしている。

　みちのく銀行によれば、顧客情報が記録された3枚のCD-ROMが所在不
明となっていることが20日に判明。CD-ROMには、顧客の氏名、住所、電
話番号、生年月日、年齢、預金残高、貸出金残高などの情報が記録され
ていたという。みちのく銀行ではCD-ROMの探索を続けているものの、22
日現在では発見されず、誤って破棄した可能性が高いとしている。

　また、CD-ROMにはパスワードなどによるセキュリティ対策を講じてい
るため、外部に流出した場合でも顧客情報が漏洩する可能性は低いもの
と考えているとしており、現時点では情報漏洩による二次被害などの事
実も確認されていないとしている。

　みちのく銀行では、個人情報保護法の施行後に今回のような事態を招
いたことについて誠に申し訳なく深くお詫びするとのコメントを発表し
ており、情報漏洩に関する専用の問い合わせ窓口を設置して顧客からの
対応にあたるとともに、今後はCD-ROMの一括管理することなど、情報の
管理や取り扱いに万全を期するとしている。

【引用終わり】

【主観的視点】
　個人情報を紛失・漏洩してしまった企業に、顧客は何を求めるだろう
か？それは安心感ではないだろうか。

　プライバシーマークを取得していても、ISMSを取得していても、漏洩
するときは漏洩する。紛失するときは紛失する。
　以前にも書いたが、漏洩後、企業はどう対応するかに関してどの程度
検討されているかだ。

　今回個人情報が紛失してしまったことは決してよいことではない。しかし
対応として、紛失された場合でもセキュリティ対策が講じられていること、
心配な場合の対応窓口が設けられていることなどは顧客を安心させる大きな
材料といえる。

　某企業は、漏洩後500円券を発行しているがこれは安心させるための策でなく
自社から離れないようにするための策でしかない。

【ISO考】
個人情報を保持している企業は、予防策として、事件・事故後の策として
どのように顧客を安心させるための措置を用意しているだろうか？