個人データ保護対応の実務をケースから学ぶ(1)個人データ保護対応の実務をケースから学ぶ(2)の続きです。

買収が済んだ MedSource 社の安全保護策にはいくつか対応が必要な問題点が見つかったようです。皆さんならどのような対応をすべきか、以下のケースを読んで答えてみてください。質問に答えることで実務でやらなければならないことが見えてくるはずです。

シナリオ3の概要

買収が無事完了し、Worldwide Medical 社の主要部門の一つとなった MedSource社は、現在世界中の顧客に対してサービスを提供しています。とはいえ、すべてが順調というわけではありません。MedSrouce 社の現地オペレーションは従来どおり行えているのですが、アメリカへの事業展開が進んでいません。アメリカと欧州との間で越境データ移転規制の問題が発生しているからです。

Privacy OfficerのJohsonはデュー・ディリジェンスを行う中で、MedSource社の仕事の進め方を確認しました。

MedSource 社は従業員にラップトップ・コンピュータを支給しています。このラップトップ・コンピュータには機能制限がかけられており、患者データの保護がされています。

MedSource 社の従業員である登録看護師はリモート・ワークが許可されており、勤務地を事務所と自宅から自由に選択できます。看護師はインターネットを介して事務所のスケジューリング・システムと報告システムにアクセスできるようになっています。

柔軟な仕事の仕方を取り入れる一方で、MedSource 社は自宅で働く従業員のためのポリシー(policy)と手順(procedure)を備え、セキュリティ対策もしっかりと行っています。更に、リモートで仕事をする従業員の作業を定期監査しているため、従業員が会社のルールに従って業務を行っていることを確認することもできています。

しかし、Worldwide 社のGlobal Privacy OfficerのJohnsonはデュー・ディリジェンスを行う途中、患者のプライバシー保護について潜在的な問題点がいくつかあることを発見しました。

一つはラップトップのプリント機能です。MedSource 社が支給しているラップトップは、プリンタのドライバーを削除し印刷機能を無効化した状態で支給されています。しかし、会社のデータベースにアクセスするためにはインターネット経由でアクセスするため、インターネットからプリンタ・ドライバをダウンロード可能な状態となっていました。プリンタ・ドライバがあれば患者データを紙面に印刷できてしまうため、これは潜在的なプライバシー保護の問題点といえます。

もう一つは看護師のラップトップ・コンピュータの外部記憶装置が使用可能となっていることです。USB等を使用することで、患者データを容易にMedSource 社のネットワーク外にあるコンピュータに持ち出すことができます。

更に、MedSource 社の患者データやスケジューリング・データを保管しているデータベースにはアクセス制限がなく、社員であれば誰でもがアクセスできました。これは非常に危険です。データ侵害が発生すると、大きな問題に発展しそうです。Worldwide Medical 社のグローバル・プライバシー・ポリシーにも合致していません。買収の一環として、MedSource 社のIT 部門は Worldwide Medical 社のグローバル IT 機能の持つポリシーや手順に合わせようとしていますが、この作業はまだ始まっていません。

質問:
Privacy OfficerのJohnsonがこの状況に対応するためにいくつかのことを決めなければなりません。それはどのようなことでしょうか?

 

【答えの例】

Global Privacy Officer としてFred Johnsonが行うべきことは、社内にプライバシー・マネジメント・プログラムを確立することです。

プライバシー・マネジメント・プログラムとは、個人データの取得から廃棄までのすべての過程において、適切な個人データの取り扱いがなされるように社内のデータ管理体制を整備することです。ISO 9001 や ISO 14001、ISO 27001 のように責任者を定め、PDCAを回すことで組織内の管理体制(マネジメント・システム)を成熟させていくことが目的です。

プライバシー・マネジメント・プログラムは以下の13の項目から成っています。これを順番に実装していくことが Global Privacy Officer の仕事となります。(お気づきの通り、当サイトのカテゴリーは、プライバシー・マネジメント・プログラムで扱うアクティビティで分けています。)

  • ガバナンス体制を整える
  • 個人データ台帳の保守、データ移転メカニズムの保守
  • 内部のデータ・プライバシー・ポリシーを保守
  • 日常業務にデータ・プライバシーの考え方を統合する
  • 従業員トレーニングとプライバシーについての認知活動を実施
  • 情報セキュリティ・リスクを日常的に管理する
  • サード・パーティー・リスクを日常的に管理する
  • プライバシー・ノーティスを実情にあったものとする
  • 個人からの要求や苦情に対応する
  • 新規業務を開始する際、プライバシーへの取組みを反映させる
  • データ侵害マネジメント・プログラムを定常的に更新する
  • 日常業務でのデータの取扱いとルール遵守を監視する
  • 外部情報を日常的にモニターする

今回の例では、具体的には何を行っていくことになるのでしょうか?

この記事は有料会員限定です。
ユーザー登録の方法 》