企業にとって、個人情報の保護は、コストが掛かる一方で、事故を予防できても売上に直接結びつくわけではないという後ろ向きなイメージがあるかもしれません。しかし、個人情報の漏洩が企業にもたらす影響は甚大で、創業期などで個人情報の管理体制が確立されていない企業は、早期に対応しないと命取りになる恐れがあります。それはどういうことなのでしょうか?

1 はじめに

例えば、2014年7月に発覚した通信教育大手の顧客情報漏洩では、3000万件以上もの顧客情報が漏洩し、企業は顧客への謝罪として200億円の原資を準備、関係役員の引責辞任にも至りました。それにとどまらず、大量の顧客喪失を招き、さらには損害賠償請求の集団訴訟にも発展しました。

ここまでの事例はめったにないとしても、個人情報の漏洩には相応の損失を覚悟しなければなりません。2017年5月に改正個人情報保護法(以下「法」)が施行されたこともあり、個人情報の漏洩にとどまらず、個人情報の取り扱いに対する社会の目はますます厳しくなるのは間違いないでしょう。従って、企業としては個人情報保護に積極的に取り組まなければなりません。

個人情報の保護は「トップダウンのマネジメント」であり、社長をはじめとする経営陣が個人情報を保護するという強い姿勢を示さなければ実現できません。もちろん、社長自らが規制の詳細を理解して動くわけにもいきませんから、個人情報管理の担当者を決めることになります。このときに、担当者任せにして社長が無関心だと、現場が担当者の指示をないがしろにするようになり、漏洩事故につながります。社長が個人情報保護の取り組みに関心があることを全社的にアピールし、担当者が動きやすい環境をつくることが重要です。

本シリーズでは、このような観点から、中小企業の社長が知っておくべき個人情報保護の基本知識を確認し、具体的に社長としてどのように取り組めばよいのかを見ていきたいと思います。

2 そもそも個人情報とは?

個人情報の取り扱いの重要性は漠然と認識しているものの、そもそも個人情報とは何なのかを自信を持って回答できる人は少ないでしょう。

「個人情報」とは、(1)生存する(2)個人に関する情報であって、(3)特定の個人を識別することができるもの又は個人識別符号が含まれるものです(法第2条第1項)。

生存する個人の情報で特定の個人を識別できる情報であれば、あらゆる情報が「個人情報」として保護されます。従って、顧客情報だけでなく、従業員や採用応募者に関する情報も個人情報となります。また、氏名を含まない情報(性別、生年月日、住所、利用履歴等)であっても、それで特定の個人を識別できるのであれば「個人情報」になりますし、撮影画像であっても、社内のモニタリングカメラ映像のように、特定の従業員を識別できるなら「個人情報」です。

「個人情報」の理解で難しいのは、単体では特定の個人が識別できない情報でも、社内の他の情報と照合して特定の個人を識別できるなら、「個人情報」になるということです(法第2条第1項第1号)。例えば、データベースAでは顧客情報を管理番号、メールアドレス、住所、購入履歴で管理し、特定の個人を識別できないようにしていても、別のデータベースBで管理番号と氏名などを管理していて、従業員が双方のデータベースにアクセスできる場合は、データベースAで管理している情報も「個人情報」となります(図表1)。現場では、データベースAは「個人情報ではない」と判断してしまいがちなので、注意が必要です。このあたりの判断は難しいので、個人情報についての研修を受けた個人情報管理の担当者に任さざるを得ないところです。

複数の情報を別々のデータベースに保存している場合、それらの情報が個人情報に該当するのか否かについて説明している画像です

改正法で加わった「個人識別符号」も個人情報になります。個人識別符号は、マイナンバーや基礎年金番号などが該当しますが、電話番号や社員番号は個人識別符号ではありません。具体的に何が「個人識別符号」かは、法令を解説した「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会のサイトで公表されています)が参考になります。

メールマガジンの登録ページです

3 個人情報の規制の概要

個人情報の内容が理解できたら、次は個人情報の取り扱いに係る規制について知らなければなりません。個人情報保護法による個人情報の規制をかいつまんで説明すると、次のようになります(図表2)。なお、ここでは全て「個人情報」の規制として説明しますが、これ以外の規制もあるので、注意が必要です。

まず、個人情報を取得する場合は利用目的を特定しなければなりません(法第15条)。そして、特定した利用目的を本人に通知したりホームページなどで公表したりしなければなりません(法第18条)。また、特定した利用目的の範囲を超えて個人情報を目的外利用するためには、原則としてあらかじめ本人の同意を得なければなりません(法第16条第1項)。

個人情報を利用するために必要な本人の同意や利用目的の特定について説明している画像です

個人情報を安全に取り扱うための規制や、個人情報を授受する場合の規制もあります(図表3)。すなわち、個人情報を取り扱う際には、個人情報の漏洩等を防止するために必要な安全管理措置を講じる(法第20条)とともに、会社で働いている「従業者」を監督しなければなりません(法第21条)。

また、第三者に個人情報を提供する事業者(提供者)は、原則としてあらかじめ本人の同意を得なければならず(法第23条)、誰にどのような個人情報を提供したのかなどの記録を作成し保存しなければなりません(法第25条)。

第三者から個人情報の提供を受ける事業者(受領者)は、提供者が個人情報を取得した経緯等を確認するとともに、誰からどのような個人情報の提供を受けたのかの記録も作成し、保存しなければなりません(法第26条)。

第三者から個人情報を提供された事業者が行う記録の作成などについて説明している画像です

4 やるべきこと

社長がやるべきことを大まかに確認してみましょう。まず、会社として個人情報保護を重視する姿勢を社長が明確にしなければなりません。個人情報保護方針(プライバシーポリシー)を公表している会社も多いですが、これが会社としての姿勢を示すものになります。

そして、個人情報を管理する担当者や責任者を決めます。個人情報の管理担当者の主な職責は次のものが挙げられます。これらの職責を果たすために、担当者は個人情報保護に関する研修を受けることが必須といえます。

  • 個人情報の洗い出し
  • 個人情報取り扱いの社内ルールの策定(個人情報保護規程等)
  • 定期的な従業員教育や社内呼び掛けの実施
  • 個人情報が適切に取り扱われているかの定期的な確認
  • 個人情報が記録された書類、機器などを廃棄した場合の確認
  • 社内ルール違反や漏洩事故などの報告を受け、対処する

また、担当者が1人で全ての任務をこなすのは荷が重いので、複数人を任命することが望ましいでしょう。個人情報管理の責任者には役員クラスを就任させ、従業員が指示に従いやすくしておくことも重要です。

なお、1.~6.を完全に実行するのは容易ではないため、会社の実情に応じて対応することは許されると考えられています。例えば、1.を完璧に実施するのは不可能ともいえるので、どのような個人情報が、どのような形で保存してあるかを、大まかに確認するにとどまることもあるでしょう。

2.も、就業規則に個人情報保護についての大まかな規定を入れておいて、3.と併せて細かいルールは社員教育などで確認することも許容されるでしょう。

3.も、社内講習会というような形ではなく、パンフレットを配布したり、4.と併せて個人情報管理担当者が定期的に個人情報の取り扱い状況をチェックしたりして、注意喚起するということも許容できるでしょう。

個人情報保護方針(プライバシーポリシー)や、個人情報の管理担当者を決めた後は、どのようなケースで個人情報が漏洩するのかを把握し、対策を講じることです。次回は、実際に個人情報が漏洩した事例から、漏洩事故を未然に防ぐための組織体制づくりのポイントを紹介します。

以上

※上記内容は、本文中に特別な断りがない限り、2017年9月4日時点のものであり、将来変更される可能性があります。

※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。

【電子メールでのお問い合わせ先】
inquiry01@jim.jp

(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)

ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です