| No.049 個人情報保護法で得する悪魔たち |
| 概要 |
・個人情報保護法が来年4月から本格的に施行される。
・それにつけ込んで、個人情報保護法対策のコンサルタントが暗躍している。
・私が勤務している会社の素人システム部長も騙されてしまった。
・新しい法律が一つできたことへの対策ぐらい、自社内の要員で行うべし。
(2004/11/27)
|
| 個人情報保護法への対策 |
来年4月から個人情報保護法が本格的に施行されます。どんな企業でも少しは個人情報を保有しているはずなので、何らかの対策を検討していると思います。(もちろん、もう対策は終わっているという優秀な企業もあると思います。)
今や個人情報の8割が電子化されていると言われています。紙で顧客管理をしている会社もあるとは思いますが、今や少数派です。個人情報の数が少ない内は紙でも問題ないのですが、情報量が増えれば増えるほどデータ化しなければ処理しきれなくなります。残念なことに、データの量が増えれば漏洩したときの被害も大きくなるのです。
個人情報保護法への対策は、すでに様々な文献や書籍が数多く出回っていますので、それを参考にすれば難しくはないと思います。個人情報の洗い出しからはじめて、社内規定の整備、従業員への教育の実施、必要となる機器やソフトウェアの導入、個人情報保護法に対応できる組織作り、継続的な監査の実施などが必要となります。
情報漏洩対策用ソフトウェアの導入や機器の設定変更など技術的な側面もありますので、私が勤務している会社では、情報システム部門が主体となって全社的な個人情報保護法への対策を検討することになりました。
これを言い出したのは、かの素人部長さんです。この案件を情報システム部門主体でやること自体は良いことだと思います。「自分から手を挙げて仕事をやるって言うなんて偉い。リーダーシップもありそうだし、がんばって欲しい。」と安易に考えていたら...大変なことになりました。(泣)
|
| 悪魔の暗躍 |
素人部長さんは情報システム部門から3名、関連部署から数名を選んでプロジェクトチームを作りました。私はその中には入りませんでした。(だって、私は他にいっぱい仕事を抱えてますから。)
最初はいろんな本を買って自分たちで勉強してがんばるぞ...ってな雰囲気だったのですが、ある講習会に参加してから、いつの間にか「この件はコンサルタントに任せよう」と言い出したのです。「ま、外部の人に見てもらうのも悪くはないよな」と思い、この時点では何も言いませんでした。
コンサルタントもピンからキリまでありますが、素人部長は、コンサルティング会社の中でもかなり有名な所に依頼してしまったようです。見積書を見てびっくり!!約100人日で○千万円!!(○に入る数字は、ご想像にお任せします。)なんじゃこりゃー!!(怒)
それでも、価格はコンサルタント側でやってくれる仕事にもよります。これだけの金を払うのなら「お任せパック」みたいに全部やってくれるのかな?と見てみたら...ほとんど全部お客様作業になってる!
やってくれるのは教育のときの講師だけ?しかも教育内容はお客様側で決定?手間のかかる個人情報の洗い出し作業や監査の実施もお客様作業になってるよ。規定類もドラフト作るだけかい!そんなのいくらでも本に載ってるだろーが!
簡単にまとめると、アドバイスのみの実作業なしで時間や手間がかかる部分はやりませんという提案なのです。この程度のコンサルティングなら、4〜5百万円がいいところだと思いました。(これでも高いかもしれません。)
個人情報保護法への対策は、どの企業でもやらねばならないことです。特定の企業に特化して、かつ、経営層に対するコンサルティングならば、このように法外な価格でも仕方ない場合もありますが、こんな汎用的で一般的なコンサルティングに払う金額ではありません。
あーあ、コンサルティングの悪魔に捕まっちゃったよ。
とりあえず、素人部長に直接言うのも何なので、副部長に文句を言ってみたのですが「部長が決めたことだから」と取り合ってもらえません。(未だに、やる気レス状態なので困ったものです。)
仕方ないので、直接素人部長を捕まえて説明しました。価格は高すぎで内容はショボすぎなので、何とか契約を止められないか、または、内容を変更できないかと訴えてみましたが、残念ながら稟議も通って契約済みでした。元営業担当部長だけあって根回し早すぎ。役員連中も、めくら判押すなよ!!(泣)
素人部長もいろいろ言い訳を言っていましたが、今後は契約前に相談してくれるとのことなので、少しは安心しました。
|
| 自分たちで何とかしよう |
コンサルタントに依頼しようが依頼しまいが、個人情報が外部に漏れた場合の損害に変わりはありません。だったら自分たちで勉強して、自分たちの責任において対策を実施した方がいいと考えます。
もう一度書きますが、個人情報保護法への対処方法についての書籍は、本屋に行けば簡単に手に入るのです。たかが法律一つ増えたことへの対策くらい、自社内の要員でやるべきです。でなければ、お金がいくらあっても足りないでしょう。参考程度に意見を聞くのはいいと思いますが、費用対効果を良く考えましょう。
万一、個人情報が漏洩してもコンサルタントは何の責任も取ってくれません。彼らはきっとこう言うでしょう。
「お客様がご自身の責任で作られた情報漏洩対策ですから。私どもは支援を行っただけです。」
「情報漏洩は漏洩した従業員の責任です。情報漏洩時の規定通りに対処してください。」
「我々には一切責任はございません。」
|
