ルールを文書化する際の原則は、まず、何を守るのかを決めることです。守る対象がハッキリしないと対策できないからです。例えば、昨今頻発しているUSBメモリの紛失事故などを防ぐには、以下のような対応が考えられます。もちろん、守る対象はUSBメモリではなく、記録される個人情報ですので、個人情報が記録されない媒体は対象外となります。

<人的/組織的対応>

  • USBメモリは利用禁止とする。
  • USBメモリは使用禁止にはしないが、使用する場合は届出制とし、使用条件(暗号化、ウィルス対策など)を定める。

<技術的/物理的対応>

  • パソコンのUSBインターフェイスを使えないように、USBメモリを差しても認識させない設定とする。
  • パソコンのUSBインターフェイスの利用状況を記録し定期的に確認する。
  • パソコンのUSB端子にテープを貼って物理的障壁を設ける。

上記のルールは一例です。USBメモリに記録される可能性のある個人情報の重要度(その個人情報が漏えいした際に本人が被る損害)に応じて(リスク分析)、単独又は組み合わせて対応を決定します(リスクに対する対策)。

そして決定したルールを、文書管理規程に則った正式文書として文書化します。ルールを内規として決めて内部に周知すれば、わざわざ正式文書化することはないと思われるかも知れませんが、正式な文書にすることは必須です。なぜなら、ルール通りに運用しなかった場合、正式な文書(承認手順に則って定める)として定められていないと罰則が適用できないからです(恣意的な運用につながる)。正式文書とすることにより、罰則という裏付けのある運用が担保されるのです。