NPOのためのICT利活用ガイドライン


【はじめに】

特定非営利活動促進法(NPO 法)が 1998 年 12 月に施行され 20 年。日本国内にはいま 50,000 を超える特定非営利活動法人(NPO 法人)が活動しています。様々な社会課題の解決に向かって、民間ならではの切り口で取り組んでいく存在として、「NPO」という存在が社会に認識されるようになっています。

事務作業の効率化、効果的な広報。IT(わたしたちは、IT にコミュニケーションの C も含めて ICT と呼びたいと思います)をつかうことで、もっと効果的に、もっと負担を減らしてスムーズに、もっと仲間や支援者を増やして活動をしていくことができるのではないかー。活動をしていくことができるのではないかー。

私たち各地のNPO支援センターの現場を預かるものたちが、そんな想いからとりまとめたものが「NPOのためのICT利活用ガイドライン」です。

「NPOのためのICT利活用ガイドライン」の使い方

情報について「整理しよう」「管理しよう」「活用しよう」「しまった、やってしまった!」そんな時にご覧ください。情報活用やセキュリティの分野は、日々進化していきます。本ガイドラインを策定した関係者一同も、引き続き対応を検討し続けていきたいと思います。

※このガイドラインはオンラインで公開されており著作権フリーです、また解説や追加情報などは不定期に本ページにアップデートされる予定です。

「NPOのためのICT利活用ガイドライン」2018年度版(PDF:約3MB)
2018年度版のエッセンスをイラストも交えて4ページにわかりやすくまとめました。
ダウンロードは、こちらから。リンクフリーです。

編責:NPOのためのICT支援者ネットワーク


 

【0.目次】

1. 情報管理/情報セキュリティ
2. 情報開示/情報発信
3. その他

【1.情報管理/情報セキュリティ】

ポイント1 管理する情報を整理しよう(全体)

(1)まず団体がどんな情報をもっているのか、棚おろしをしてみよう

(例)会員情報、会計書類イベント企画書 など

(2)団体がもっている情報に重要度をつけてみよう

※重要度の指標の例

情報の重要度

 

 

 

 

(3)重要度の高いものから、情報のライフサイクル(※2)を整理してみよう。

(※2)情報が集まってから廃棄されるまで

情報が集まってから廃棄されるまで_2016-08-17

 

 

 

 

 

 

 

 

ポイント2 不必要な情報は収集せず、いらなくなったら廃棄をしよう(A:収集/E:廃棄)

例えば、メールで案内を送る予定がないのであれば、メールアドレスの情報を収集する必要はありません。不必要な情報を収集するのは、なるべく避けましょう。

また、たとえばもう保管の必要のない見積書や退会した会員の情報などを廃棄するルールを団体として検討して、廃棄をしましょう。情報漏えいのリスクを減らすことにもつながります。

 

<参考1>廃棄のルールのめやす(複数年事業の場合は最終年度の翌年から起算)

  • 情報公開が義務付けられている書類(事業報告書、財産目録、貸借対照表及び収支計算書):認定NPO法人は最低4年
  • 契約書類:10年保存(商法による重要な書類)
  • 雇用書類:退職後3年保存(労働基準法)
  • 会計書類:7年~10保存(税法に準拠)
  • 会議資料:事業終了後5年以上保存
  • 団体内サーバーなどにすでに電子データで保存されていて紙での残っている書類:原則として破棄(団体内でルールをつくることを推奨)

 

<参考2>廃棄の方法

個人情報や契約など重要な書類の廃棄は、単に古紙回収に出すのではなく、少なくともシュレッダーなどで断裁したり、大量に廃棄する場合は溶解業者に委託したり、といった方法が有効です。

□ポイント3 個人情報保護方針(プライバシーポリシー)はありますか?(全体)

ポイント1で整理した団体のもっている情報の中でも、法律で保護することを求められている個人情報(生存する個人の名前・生年月日などその他の記述等により特定の個人を識別することができる情報のこと)に分類される情報を、どのように扱うか、情報が集まってから廃棄されるまでに沿って、保護方針と保護の方法を、団体の中で考えてみましょう。

情報を収集する時には、方針にそって一言を添えることでトラブルを防ぐことができます。

(例)フォーラムの参加申込書の場合
「本参加申込書に記載された個人情報につきましては、次の目的により使用するもので、その他の目的には使用いたしません。
使用目的:参加決定通知の送付、会場受付での本人確認、フォーラムの内容検討、今後の同種イベント等に関するご案内、当日配布用参加者名簿(参加者名簿への不掲載をご希望の方は、備考欄にその旨をご記入ください)」

□ポイント4 重要度の高い情報は定期的にバックアップをとりましょう(D:保管)

「あっ!1ヶ月打ち込んだ会計データがぜんぶ消えてしまった!」

後悔先に立たず。寄付者名簿、会員名簿や会計データなど、重要な書類は必ず定期的にバックアップをとりましょう。

<参考1>バックアップをとる方法

  • OSの自動バックアップ設定をするか、フリーソフトなどを活用し定期的なバックアップを行います

・マイクロソフト社からの情報提供

http://windows.microsoft.com/ja-jp/windows/set-change-automatic-backup-settings

・シマンテック社からの情報提供

フリーソフトでも性能は十分!簡単無料のPCバックアップ術 -(ノートン ブログ)

https://japan.norton.com/backup-freesoft-4113

  • クラウドサービスをつかって、インターネット上にデータを保存します。最近ではこの手法が主流になってきています

・セキュアな情報ストレージサービス「BOX」

https://www.techsoupjapan.org/node/752131

  • CD-Rなど書き込み可能なディスクやフラッシュメモリー、外付けハードディスクに定期的なバックアップを行います

(※)CD-Rやフラッシュメモリー、外付けハードディスクには耐用年数があるほか(一般的には5年といわれています)、磁気や衝撃により情報が消滅することもありますので、定期的に確認しましょう。保管は冷暗所で乾燥したところが望ましいといわれています。

 

<参考2>もしデータがなくなってしまったら・・

  • データ復元ソフトなどをつかって、データ復元を試みましょう
  • 紛失により迷惑をかけた場合には団体としてお詫びを検討しましょう
  • これからのバックアップ計画を団体として検討しましょう

□ポイント5 重要度の高い情報にはパスワードをつけましょう(D:保管)

個人情報のある会員名簿、流出してしまうと組織の存続にも関わる事態にもなりかねません。かといって、みんなで共通のパスワードをつけるのも、セキュリティの観点からは不安です。基本的には、「1人のユーザー」に「1つのパスワード」を設定しましょう。

<参考1>パスワードをつけた方がいいもの
□ パソコンへのログイン
□ 事務所のインターネット環境へのアクセス
□ 重要度の高い情報が含まれている、特定のフォルダやファイル

・(マイクロソフト社)ファイルにロックをかける方法
https://www.microsoft.com/ja-jp/atlife/tips/archive/office/tips/111.aspx

  • USBメモ
    ・USBメモリにロックをかける方法

http://www.sony.jp/rec-media/pocketbit/download/filelock.html

<参考2>ウイルスなどに攻撃された場合
すぐにパスワードを変更しましょう。
・安全なパスワードのつくりかた
https://www.microsoft.com/ja-jp/security/online-privacy/passwords-create.aspx

□ポイント6 ウイルス対策ソフトを導入しましょう(D:保管)

ウイルスからの攻撃を防ぐために、団体としてつかうパソコンには、ウイルス対策ソフトを必ず導入しましょう。

<参考>ウイルス対策ソフト
・シマンテック社:ノートン・インターネット・セキュリティ

https://www.techsoupjapan.org/directory/89

・マイクロソフト社:Windows Defender/Microsoft Security Essentials

http://windows.microsoft.com/ja-jp/windows/security-essentials-download

□ポイント7 サポートの切れたソフトは、アップグレード、またはバージョンアップしましょう(D:保管)

パソコンソフトは、常に完璧な状態が保たれているわけではありません。ソフトウェアには「脆弱性」が存在します。脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の弱点・欠陥です。その脆弱性を対策するためにも、ソフトウェアのアップデートが必要です。ソフトをつくった会社は常にソフトのバージョンをアップグレードしています。自団体が安全に使用し、そして他の方に迷惑を掛けないためにも、バージョンアップまたはアップグレードを行いましょう。

(例)◆Windows7 も 2020 年 1 月にはサポートが終了します。Windows10 等への移行の検
討を。
https://www.microsoft.com/ja-jp/atlife/article/windows10-portal/eos.aspx

□ポイント8 ポイント1~7までをふまえて、団体としての情報保護のルールをつくってみましょう(全体)

ポイント1の情報の整理/情報が集まってから廃棄されるまで(A:収集~E:廃棄)を見渡して、団体としての情報保護のルールを考えてみましょう。また、実際に情報に関する被害があった場合の対応策を学んでおきましょう。

<参考1>(トレンドマイクロ社)ウイルスがみつかった場合の対処方法
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1098396.aspx

(1)ネットワークから切断する
(2)ウイルスを特定する
(3)ウイルス駆除方法を確認する
(4)ウイルスを駆除する
(5)コンピューターを修復する
(6)ウイルス対策ソフトを最新版に更新し、ウイルス検索を行う
<参考2>情報漏えいがおこった場合
(シマンテック社)誰にでも起こり得る個人情報漏洩の的確な予防と対策まとめ – ノートン ブログ
https://japan.norton.com/leaking-of-privateinformation-4061

(1)事実確認を行う
(2)どんな情報が流出したか整理
(3)漏洩継続の阻止
(4)Web上のログインパスワードを変更する
(5)迷惑メール設定を見直す
(6)カード、銀行などを必要に応じて停止
(7)事実を公表し謝罪
(8)問い合わせ窓口の設置
(9)原因究明
(10)再発防止対策を策定
(11)事後対応

<参考3>フィッシング詐欺にあった場合
(シマンテック社)フィッシング詐欺に引っかかったときの対処法ケース別4種類
https://japan.norton.com/phishing-coping-method-2373

銀行などの金融機関の口座情報、暗証番号などをフィッシングサイトに入力してしまった
(1)被害にあった口座の銀行に連絡
(2)金銭被害があった場合は居住する地区の都道府県警察サイバー犯罪相談窓口に連絡
(3)国民生活センター、または消費生活センターに連絡
(4)フィッシング対策協議会への情報提供

クレジットカード番号などの情報をフィッシングサイトに入力してしまった
(1)コールセンターへ連絡

ソーシャルメディアやWebサービスのID・パスワードをフィッシングサイトに入力してしまった
(1)自分のアカウント情報を入力したと思われる本物のサイトにログインをし、パスワードを変更してください。
(2)サイバー犯罪相談窓口にご連絡ください。

□ポイント9 団体としての情報管理者をきめましょう

団体としての情報の管理をする人をきめましょう。常時事務局にいる事務局スタッフや理事など、全体マネジメントを担当し、団体の情報をよく活用する人をおすすめします。

□ポイント10 スタッフ間で情報管理やセキュリティについて勉強する場をつくりましょう

スタッフやボランティアの中で情報管理やセキュリティについて学習する機会を持ちましょう。
(例)「ノートン・ブログ」を話しのタネとして実施
https://japan.norton.com

□ポイント11 団体の中にある情報を有効活用しましょう

スタッフや理事、ボランティアスタッフなどが団体を代表して交換した名刺は、団体の趣旨や取り組みについてより多くの方にお知らせする入り口であったり、団体として連携をする時にも重要なものです。

<参考>情報を整理して、有効活用をするために

  • 手元にある情報をまず電子データ化する
  • 情報を整理する場所をつくる(データベース)

・Salesforce導入・活用サポートプログラム
http://npo-sc.org/salesforce_support/salesforce.html

 

【2.情報開示/情報発信】

□ポイント12 信頼される団体になるために、求められている情報は掲載しましょう

これまでの法人制度では、行政が事業計画・事業報告や予算・決算を監督するという建前から、情報公開については規定していませんでした。しかしNPO法人については、行政の監督よりも市民の監視を重視するという観点から、情報公開について詳しい規定を設けています。適切な情報開示・情報発信をすることで、信頼を構築していきましょう。

□ 所轄庁へ提出する書類
(事業報告書/活動計算書/貸借対照表/財産目録/役員名簿/社員名簿)

□ 所轄庁へ提出した書類の写しを事務所に備えおいて、求められた際に閲覧できるようにしておきます

□ポイント13 情報発信のための団体アカウントをつくりましょう

団体としての情報発信を通じて、活動紹介・支援者拡大を行いたい場合は、Facebook、ツイッターなどのSNSに団体アカウントをつくり、団体アカウントをつくって発信することをおすすめします。

□ポイント14 ウェブサイトが色盲や視覚に障害がある方や高齢者の方にとって配慮したものか、いちど確認を

色盲や視覚に障害がある方や高齢者の方にとって配慮したウェブサイトになっているでしょうか?一度振り返って確認をしてみましょう。

<参考>
・情報バリアフリーのための情報提供サイト
http://barrierfree.nict.go.jp/accessibility/minna/

・色覚障がい者に配慮したウェブサイトの作り方
http://www.webcreatorbox.com/tech/design-colorblind-users/

 

【3.その他】

□ポイント15 情報発信時には著作権に配慮しましょう

団体として発信しようと思っている写真や冊子、「著作権」に触れていませんか?原稿の執筆や講師の発表資料など、「著作権」は著作者の死後50年まで保護されることが原則です。無断引用にならないように、気をつけましょう。

<参考>
・公益社団法人著作権情報センター
http://www.cric.or.jp/qa/hajime/index.html#rule

□ポイント16 パソコンやパソコンソフトは資産として管理しましょう

パソコンは資産として管理しましょう。固定資産に該当する場合は、減価償却など会計基準に則った処理を行いましょう。

<参考>
・みんなで使おう!NPO法人会計基準
http://www.npokaikeikijun.jp/guideline/qa/q19-1/

□ポイント17 機器の保証書・取扱説明書、保存しておきましょう

パソコンやIT機器が故障するリスクは常にあります。そんな時に大切なのが保証書。保証期間内なら支出をおさえて修理することが可能です。購入した機器の保証書・取扱説明書は、まとめてファイリングしておきましょう。期間外でも、型番などの情報がまとまっていると修理を依頼される側とスムーズにやりとりができます。

 

 

以上