サイト内検索

My Photo
March 2023
Sun Mon Tue Wed Thu Fri Sat
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« マイクロソフト Zotob に関する情報 | Main | 警察庁 平成17年上半期の犯罪情勢 »

2005.08.18

プライバシーポリシーの作成者と個人情報保護規定の承認

 こんにちは、丸山満彦です。鈴木正朝先生が以前から言われていたことです。プライバシーポリシーという組織の個人情報保護規程の方向性を規定づける上位文書が社長・CEOの鶴の一声できまるのに対し、個人情報保護規程というその下位文書が、社長・CEOを監督する取締役会で決まるという逆転現象をどのように説明するのか・・・

 

050818-01


 確かにおかしいですね。プライバシーポリシーの問題だけでなく、セキュリティポリシーでも同じ問題となりますね。【右図参照】

① ポリシーを取締役会で規定し、規程は社長が規定するか
② ポリシーを社長が規定し、規程は経営委員会、CPOなどで規定するか

となるべきですよね。この問題、社長の暴走をとめれない日本のガバナンス構造の問題をはらんでいるのかもしれませんね。

 委員会設置会社ならちょっと違った状況なのかもしれません。


 でも、日本で「プライバシーポリシー」と言っている内容の多くは、「プライバシー保護宣誓」、「個人情報保護宣言」であったりするので問題がないのかもしれません。

 050818-02

【右図参照】

でも、そうなると、誰がプライバシーポリシーを決めるのだろうか?多分、取締役会でしょうね。でなければ、株主総会・・・


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

2005.08.18 07:26 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント |

« マイクロソフト Zotob に関する情報 | Main | 警察庁 平成17年上半期の犯罪情勢 »

Comments

俗な言い方を法的な言い方が混ざっていませんか。

>プライバシーポリシーという組織の個人情報保護規程の方向性を規定づける上位文書が社長・CEOの鶴の一声できまるのに

法的には、これも取締役会の決議で決まっているのではないですか。代表取締役は、その執行の権限は、日常的なものでの範囲については、自力で執行しうるとしても、それ以外は、できないはずでしょ。(新版 注釈会社法6-138頁)

Posted by: ミスターIT | 2005.08.19 09:52

ミスターITさん、コメントありがとうございます。おっしゃるとおり!です。世の中でプライバシーポリシーと称されているのは実はポリシーではなく、セキュリティ保護宣言書(個人情報保護宣言書)のようですね。
 本当のセキュリティポリシーは
①文書にはなっていないが、なんとなく共有されているか、
②個人情報保護規程を社内で発表するときの文書に記載されている
③個人情報保護規程の前文に記載されている
となっているケースが多いのではないかと思います。

③であれば、取締役会の決議で決まっているということになりますね。

①の場合であっても不文律として、実際にうまく機能しているのであれば、文書化して明確にしなくても問題はないですね。

Posted by: 丸山満彦 | 2005.08.20 01:53

ミスターITです。

>世の中でプライバシーポリシーと称されているのは実はポリシーではなく、セキュリティ保護宣言書(個人情報保護宣言書)のようですね。

ここらへんは、定義の問題だから、なんというか。セキュリティポリシというのは、各地の方言がたくさんあるので、そのひとがどの方言を使っているかをみてから、話すべきで、別に何が正しい使い方といってもしかたないと思っています。

ただ、外部にむけてのステートメントについては、これが、情報を処理する際の情報主体との間の民事的な処理についての基準ともなりうるものだという点は、意識しておく必要があるでしょう。(ただ、抽象的なすぎるのは、なんの役にもたたないことになりますね)

Posted by: ミスターIT | 2005.08.20 08:15

ミスターITさん、コメントありがとうございます。

ポリシーというのは、方向性を示すものですから、その対象とすることにより様々です。情報セキュリティポリシーをとってもそうで、エンタープライズ全体の情報セキュリティをどうするのか?という情報セキュリティポリシーもあれば、ファイアーウォールでどのような情報をどちらからどちらに通すのかというポリシーもありますね。プライバシーポリシーは通常は企業全体で(顧客の)プライバシーについてどのように向き合うのか・・・という点で方向性を示すことになるのでしょう。

これが本来の意味でのポリシーの考え方です。したがって、どのようなことのポリシーなのかということで意味が変わってきますね。

情報セキュリティポリシーがいろいろな意味があるというのは、ポリシーに方言があるのではなく、「情報セキュリティ」という意味に方言があるのだと思っています。

=====
ただ、外部にむけてのステートメントについては、これが、情報を処理する際の情報主体との間の民事的な処理についての基準ともなりうるものだという点は、意識しておく必要があるでしょう。(ただ、抽象的なすぎるのは、なんの役にもたたないことになりますね)
=====
は重要なポイントですね。

Posted by: 丸山満彦 | 2005.08.20 11:34

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference プライバシーポリシーの作成者と個人情報保護規定の承認:

« マイクロソフト Zotob に関する情報 | Main | 警察庁 平成17年上半期の犯罪情勢 »