セキュリティ関連規程
更新の具体例
〜自社のありたい姿を
規程にする〜
A社ではセキュリティに関係するものだけでも20ほどの規程があります。それらの規程はセキュリティを担当するチームが管理をしています。セキュリティチームでは適切な管理を行うため、日々さまざまな取り組みを行なっています。
セキュリティチームでは一年間の計画を立て、規程の更新や作成を行なっています。4月から年度が変わるため、4月の施行に合わせて、逆算したスケジュールで実施しています。
基本的な更新のルールは、事業計画やデジタル戦略を意識し、法令などを確認し検討します。見直す必要があるポイントなどを確認し、最終的に規程の文言修正を行います。そして、法務または顧問弁護士のチェックをし、経営会議で承認されて、施行となります。経営計画の変更や法令の改定が行われた際は、規程の大幅変更も行う場合があり、その時は非常に忙しくなるタイミングです。
2022年4月に施行された個人情報保護法の改定では、2020年6月の公布後から変更ポイントの整理を開始しました。匿名加工情報や仮名加工情報の利用有無や第三者提供の実施有無など、事業計画との擦り合わせを行いながら変更する場合の文言なども確認していきます。時には顧問弁護士の方のアドバイスを聞きながら対応を行いました。2022年4月1日付で改正された個人情報保護法に紐づく規程が作成されています。
そして、規程は変更しなくともマニュアルや手順が変更になるといったケースも存在します。規程に準拠はしているが、システムが変わりやり方が変わるなどの場合にはマニュアルの変更のみ行います。関連部署とのコミュニケーションをしっかりととることにより、いち早く情報をキャッチアップした対応が重要となります。また、リスク分析の結果、対策を強化する場合にもマニュアル変更が必要になります。最近だと2要素認証導入に伴う改訂などの事例をよく聞きます。この場合には、マニュアルの更新と合わせて従業員への周知を徹底し、事業影響を少なくする施策も検討する必要があります。