Netpress 第2325号 情報は「重要な資産」 担当者が把握しておきたい企業の情報管理の基本
1.今日の社会では、情報は「重要な資産」です。情報管理の法務においては、個人情報保護法、不正競争防止法等の多岐にわたる法令・ガイドライン等をフォローする必要があります。
2.もっとも、情報管理の法務の基本的なポイントを一通り理解しておけば、問題の所在に気づき、必要に応じて、専門家への相談等の適切な対処が可能になります。
梅田総合法律事務所
弁護士 沢田 篤志
1.個人情報の保護
(1)企業は、通常、個人情報取扱事業者として、顧客・従業員その他の個人情報を保有しています。仮に、個人情報の漏洩事件が起きた場合、企業の情報管理体制について社会からの信頼を失いかねません。また、近年、顧客情報の漏洩事件で、1件あたり数千円の損害賠償を認める裁判所の判決が複数出されています。仮に1件あたり数千円でも、100万件の漏洩が起きれば数十億円になります。個人情報の漏洩防止は重要な課題です。
(2)個人情報」「個人データ」等の基本的な用語の意味を知ることは、個人情報保護法を理解し、問題の所在を理解するために非常に重要です。
「個人情報」とは、特定の個人(生存している個人)を識別可能な情報(他の情報と容易に照合して識別可能な情報も含む)です。氏名が代表例ですが、それに紐付けられた電話番号等の情報も含まれます。特定の個人が識別可能であれば、画像・動画も、特定の個人に紐付けられたWEBサービスの利用データ等も該当します。
「個人データ」とは、個人情報のうち、検索が容易にできるように体系的にまとめられたものを指し、名簿やデータベースに記録された個人情報が代表例です。顧客から受け取った1枚の名刺は単なる「個人情報」ですが、名刺管理ソフトで整理をすると「個人データ」になります。個人情報保護法における安全管理措置や第三者提供の制限の対象となるのは、「個人データ」のみです。
個人情報 | 個人データ | |
利用目的の特定・通知等 | ○ | ○ |
目的外利用の禁止 | ○ | ○ |
適正取得 | ○ | ○ |
安全管理措置 | × | ○ |
第三者提供の制限 | × | ○ |
(3)個人情報を取得する際には、利用目的を本人に通知または公表する必要があります。通知または公表では足りず、明示すべき場合もあります(WEBの入力フォームで取得する場合等)。
利用目的は、できる限り特定しなければならず、自社の事業内容等を踏まえた具体的な記載が求められます。
(4)個人データを本人の同意なしに第三者に提供することは、原則としてできません。例外としては、法令に基づく提供の場合、第三者提供にあたらないとされる委託、共同利用等の場合等があります。
(5)個人データについては、安全管理の措置(後述)をとる義務があります。
(6)プライバシーポリシー(個人情報保護方針)は、事業者が個人情報やプライバシー情報の取り扱い方針を示し、また、法令上必要な事項を記載するものです。事業者への信頼を確保し、また、法令を順守するために、重要な役割を果たします。
法令を意識して、取得する個人情報、利用目的の通知または公表、第三者提供の同意、他の事業者への委託、共同利用、安全管理、個人情報の開示・訂正・削除の手続、連絡先の表示等の様々なニーズへの目配りが必要です。自社の事業活動に合致し、わかりやすい内容にすることが重要です。
2.営業秘密(不正競争防止法)
不正競争防止法は、「営業秘密」にあたる情報を民事・刑事の両面で手厚く保護しています。もっとも、企業が秘密と考える情報のすべてが「営業秘密」となるわけではなく、「秘密管理性」「有用性」「非公知性」という要件を満たす必要があります。なかでも、秘密管理性の要件が重要で、事業者がどのような管理(アクセス制限等)をしていたか、秘密情報だと客観的に認識可能な措置(マル秘の表示等)の有無等がポイントになります。
自社に重要な情報資産がある場合、いざという場合に法的保護を受けられるように、適切な秘密管理の措置が欠かせません。
3.秘密情報の安全管理(漏洩防止)
情報セキュリティの取り組みにおいては、「機密性(秘密情報を漏洩から守ること)」「完全性(不正な改ざんや破壊から守ること)」「可用性(必要な時に必要な情報にアクセスできること)」という3つの観点が必要です。このうち、機密性に関するものが、情報の安全管理措置です。
具体的な安全管理の方法については、個人情報保護法ガイドラインおよびQ&A(個人情報保護委員会)、営業秘密管理指針および秘密情報の保護ハンドブック(経済産業省)等が公的な情報として提供されており、参考になります。
形がない「情報」の管理は簡単ではありませんが、その方法を「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4種類に整理して取り組む考え方が一般的です。
措 置 | 概 要 | 例 |
組織的安全管理措置 | 管理を適切・実効的に機能させるための組織的な取り組み | 責任者の設置、役割の明確化 |
人的安全管理措置 | 情報を取り扱う「人」に対する管理 | ルールの整備、定期的な研修 |
物理的安全管理措置 | 書面や記録媒体等の有体物(モノ)に対する管理 | 情報の暗号化、紙媒体の施錠管理 |
技術的安全管理措置 | 電子情報に対する管理 | 不正アクセス防止 |
なお、近年普及しているテレワークにおいては、第三者による閲覧、紛失・盗難、不正アクセス等の情報管理上のリスクが懸念されますが、ルールの整備、業務のペーパーレス化等の多面的な取り組みによって、対策が可能です。
4.情報漏洩と報告等の義務
2022年に施行された改正個人情報保護法のもとでは、個人情報の漏洩事故が発生したときは、一定の場合、個人情報保護委員会への報告と本人への通知の法的義務があります。
1,000件超の個人データの漏洩の場合、要配慮個人情報の漏洩の場合、財産的被害が発生するおそれがある場合、故意による漏洩の場合(不正アクセス、従業員による持出等)がこれにあたりますので、知っておく必要があります。
【SMBC経営懇話会会員限定】
SMBCコンサルティングの顧問弁護士による無料経営相談(大阪)のご案内
梅田総合法律事務所はSMBCコンサルティング株式会社の顧問弁護士です。 毎週月曜日の13:00から17:00までと木曜日の10:00から17:00まで、SMBC経営懇話会会員向けの法律に関する無料経営相談を受けております。 無料経営相談の申込はこちら |
SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan