内部社員の持ち出しによって個人情報が漏洩してしまった場合、個人情報保護法は企業に対して厳しい罰則を規定しています。
また個人情報を持ち出した社員本人は、不正アクセス禁止法や背任行為として罰則を受けることになります。

個人情報を漏洩させると、社員本人が刑罰を受けるとはいいつつも、同時に企業にも刑罰が下されますので、「個人の道徳の問題」として済ませることは、もう企業にはできなくなりました。

これからは積極的に社員一人一人の行動を監視して、予兆をキャッチしていかなければならないのです。

大企業から中小規模事業者まで、企業における義務・規制は、益々範囲が広がるばかりです。

例えばISO9000シリーズは、自分の会社で提供している製品やサービスの品質をある一定水準に保つため、様々な対策を施さなければなりません。
またISO14000シリーズでは、自然環境に配慮した企業活動を行うために原料の調達や不要物の破棄などに、厳しい規制が行われています。

そして2000年に入り、また新しい義務・規則が加わることとなりました。
それが「ISO27000シリーズ」で制定された「セキュリティーマネージメント」であるのです！

「ISO」って何だっけ？

「ISO」とは、製品サービスなどの世界的な標準化を推進する「国際標準化機構」が定める国際規格です。
企業活動を行っていく中で、性能が良くて、価格が安くて、世の中の人が喜んでくれれば、どんな手段を用いても良いという時代は終わりました。

企業として基本的な約束事が守れなければ、どんなに素晴らしいことをしていても、高い評価は得られないのです。
これはまるで、仕事はできるが挨拶ができない社員に似ています。

企業としての最低限の約束事として上げられている主なものが、「品質基準」や「環境基準」、そして「セキュリティー基準」の３つです。

ISO規格は個人情報保護法などの法律ではありませんので、このISOを取得しなければ行政処分が行われるというものではありません。

ただし、個人情報や企業会計情報、機密情報などをきちんと守っていかなければならないとする法律が続々と制定され始めていますので、ISO27000シリーズを取得していない企業は「情報が漏洩する危ない会社！」と思われて取引が出来なくなる可能性もありますので、知らんふりができなくなっているのが実情です。

個人情報保護法に違反しないために、プライバシーマークを取得する企業が最近増えています。
プライバシーマークは「JISQ1500１」に準拠している企業に与えられる称号であり、個人情報保護法よりも厳しいセキュリティー規制を求めています。
ですから、個人情報保護法を遵守するために、必ずしもプライバシーマークを取得しなければならないというわけではありません。

個人情報保護法は、個人情報に関する問い合わせ窓口を設置して法令に基づいた個人情報の取扱いを行うことまでを求めており、あれを取得しろ、これを取得しろとまでは言っておりません。

ただ、取引先や一般顧客、株主など外の人からすると、企業の内部でどのようなセキュリティー対策が施されているのか？そのセキュリティー対策は途切れなく実施されているのか？を判断することは非常に難しいのです。
そのため、定期的に内部監査や第三者機関による審査を実施して、セキュリティーに関して一定水準をクリアしている企業にだけ与えられるプライバシーマークやISO27000シリーズ認定マークにより、セキュリティーに対して真剣に努力している企業が客観的に分かるようにしているのです。

「罪を憎んで、人を憎まず」という美しい言葉が日本にはあります。
人間は最初から罪を犯すために生まれてきた存在ではないと言う考え方です。
悪霊のような霊が偶然にも人間に憑依してしまい、不幸にも善良なる社員が犯罪に染めてしまうという考え方なのです。

これはあくまでもたとえではありますが、善良なる従業員が例え悪霊に取り付かれてしまっても、個人情報を盗み出すことのできないようなセキュリティーシステムを完備することで、些細な出来心で従業員を路頭に迷わせないようにする。

また、犯罪に関与していない人の無実を証明できれば、冤罪（えんざい）を防ぐことにも繋がります。

そのためには、ある程度の従業員の監視は、従業員にとって良いことなんだ！という考え方を持つことこそが、従業員と企業の溝を埋める唯一の道であると信じています。

もちろん、従業員の監視システムを導入する際は、事前に目的と導入の事実を従業員に明示するべきでしょう。