Netpress 第2189号 多面的かつ継続的な取り組みを 個人情報の漏えいリスクと企業に求められる対策
1.個人情報の漏えいリスクへの対策は、企業のコンプライアンス上、非常に重要な課題です。
2.対策にあたっては、法令やガイドライン等の個人情報保護のルールを正確に理解する必要があります。
3.規則整備、秘密保持契約の締結、従業員教育、技術面の対策等の多面的かつ継続的な取り組みを行います。
梅田総合法律事務所
弁護士 沢田 篤志
1.個人情報の漏えいによる企業のリスク
情報化社会を背景に、企業が保有する大量の個人情報のデータが流出する事例が増加し、ひとたび個人情報の漏えい事故が発生した場合の影響は深刻化しています。
個人情報の漏えいが発生した場合、企業には、社会的信用の失墜(顧客や取引先から、個人情報の安全管理の体制に欠けた企業であるとみなされること)、企業イメージの低下(レピュテーション・リスク)、業績への悪影響、損害賠償等の法的責任、法令違反による制裁等のリスクがあります。
企業にとって、個人情報漏えいによる不祥事を避けるための対策は、コンプライアンス上、重要な課題です。
2.個人情報保護のルールを知る
(1)「個人情報」とは
まず、どのような情報が個人情報に当たるのか、当たらないのかを認識することが重要です。
「個人情報」とは、特定の個人を識別することができる情報です。他の情報と容易に照合して特定の個人を識別できる情報を含みます。
また、「個人識別符号」という概念があり、これに該当する場合、その情報は「個人情報」に当たります。「個人識別符号」には、次のものがあります。
①特定の個人の身体の一部の特徴を電子データに変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの(例:DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋)
②公的な番号(例:旅券番号、基礎年金番号、健康保険証の符号、運転免許証番号、マイナンバー)
個人情報に 当たるもの の例 | 名刺 防犯カメラの映像、通話の録音(特定の個人が識別できるもの) 指紋認証、顔認証のデータ(個人識別符号) |
「個人情報データベース等」(個人情報を検索できる形で体系的に構成したもの。たとえば、名簿、顧客リスト等)と「個人データ」(「個人情報データベース等」を構成する一つひとつの個人情報)という概念も重要です。
個人情報保護法は、「個人情報」のうち、「個人データ」に当たるものについてのみ、安全管理措置や第三者提供の制限のルールを定めていますから、企業としては、主に「個人データ」を対象として漏えい対策を講じることになります。
(2)個人情報保護法
個人情報保護法は、個人情報の①取得、②利用、③管理、④第三者提供、⑤本人からの開示請求等の各場面における個人情報取扱事業者の責務を定める法律です。
①取得の場面では、個人情報を適正に取得し、取得の際には利用目的を具体的に特定したうえで、通知または公表等をする必要があります。
②利用の場面では、個人情報を利用目的の達成に必要な範囲でのみ利用する必要があります。
③管理の場面では、個人情報(個人データ)の漏えいを防止するための安全管理措置を講じる必要があります。
④第三者提供の場面では、個人情報(個人データ)の第三者提供に際しては、原則として本人の同意を得なければならず、また、記録を残す必要があります。
⑤開示請求等の場面では、一定の要件のもと、本人からの開示・訂正等の請求に適切に対応する必要があります。
(3)ガイドライン
実務的なルールや考え方は、個人情報保護委員会が公表しているガイドラインやQ&Aを参照してください。
【個人情報保護法ガイドライン(通則編)】
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/【ガイドラインに関するQ&A】
https://www.ppc.go.jp/personalinfo/faq/APPI_QA/3.個人情報の漏えい対策
(1)安全管理措置の取り組み
自社がどのような個人情報を保有しているか把握し、その重要度(漏えい時のリスク)の評価を行います。そのうえで、セキュリティと効率性のバランスも考慮して、適切な管理方法を決定します。
前記ガイドラインは、「組織的安全管理措置(組織体制の整備等)」「人的安全管理措置(従業者の教育等)」「物理的安全管理措置(個人データを取り扱う区域の管理等)」「技術的安全管理措置(アクセス制御等)」という4つの側面から、多面的に安全管理措置を講じる考え方を示しています。
実際の取り組みにおいては、担当部署を決めたうえで、社内の基本方針(個人情報保護方針、プライバシーポリシー等)やルールの策定、秘密保持契約の締結、従業員教育、データへのアクセス制限、情報システム上の対策の実施等を行うことになります。この取り組みには、いわゆるPDCAサイクルの要領による継続的な改善が必要です。
(2)漏えいルートを想定した取り組み
企業からの情報漏えいのルートとしては、現職の従業者(役員、従業員等)、退職者、取引先(委託先等)、これら以外の外部者(不正アクセス行為者)等があります。
想定される漏えいルートごとに、社内規則や秘密保持契約の整備、不正アクセス防止等の対策を講じます。
4.漏えい事故発生時の対応
2022年4月施行の改正個人情報保護法により、一定の要件のもと、漏えい発生時の速やかな個人情報保護委員会への報告及び本人への通知が義務化されていることに注意を要します。要配慮個人情報の漏えい、財産的被害のおそれがある事態、不正アクセスによる漏えい、1,000名を超える個人情報の漏えいの場合等がこの対象となります。
個人情報は形のないデータであり、その漏えい対策は簡単ではありません。法令やガイドラインを正確に理解したうえで、多面的かつ継続的な取り組みを行うことが重要です。
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan