書いてあること
- 主な読者:ビジネスで個人情報を取り扱う社員100人以下の会社の経営者
- 課題:個人データの漏えいは致命傷。ただ、具体的に何をしてよいのか分からない
- 解決策:基本方針と個人情報取扱規程を策定して、組織的・人的・物理的・技術的安全管理措置を講じる
1 個人データの安全管理のために
顧客データベースなど、ビジネスで個人データを取り扱う会社は、個人情報を適切に管理しなければなりません。個人データとは、
顧客データベースなど、個人情報が検索可能な状態で整理されているもの
と考えていただければ大丈夫です。
さて、個人情報を適切に取り扱うための措置を「安全管理措置」といいますが、これは漏えいなどの事故を防ぐためのものです。この点、
取り扱う個人データや社員の数が少なければ、漏えいなどのリスクは低くなる
と考えられます。そこで、
社員100人以下で個人情報を取り扱っている会社は「中小規模事業者」として、他に比べ安全管理措置の負担が軽減
されています。
この記事では、中小規模事業者が求められている6つの基本を紹介します。2022年4月1日には改正「個人情報保護法」が施行されて注目されるところですが、まずはこれらの基本を押さえ、確実に対応することが大切です。
- 「基本方針(個人情報保護方針)」の策定
- 「個人情報取扱規程」の策定
- 「組織的安全管理措置」の実施
- 「人的安全管理措置」の実施
- 「物理的安全管理措置」の実施
- 「技術的安全管理措置」の実施
なお、次のいずれかに該当すると、中小規模事業者にはならないので注意が必要です。
- 過去6カ月以内に、取り扱った個人情報で特定される個人の数の合計が5000を超える
- 委託を受けて個人データを取り扱う事業者
2 「基本方針(個人情報保護方針)」の策定
基本方針とは、個人データを取り扱う上での基本的な方針で、「個人情報保護方針」などといいます。基本方針の例は次の通りです。
【個人情報保護方針】
当社は、当社の事業の用に供する全ての個人情報を適切に取り扱うため、当社の全従業者が遵守すべき行動基準として本個人情報保護方針を定め、その遵守の徹底を図ってまいります。
1.関係法令・ガイドライン等の遵守
当社は、個人情報の取り扱いに関し、個人情報の保護に関する法律(個人情報保護法)および関連する政省令、ガイドライン等を遵守するとともに、個人情報保護に関する社内規程を定め、継続的な見直しを行い遵守します。
2.利用目的
当社は、提供を受けた個人情報を、以下の目的で利用します。
・当社の○○事業における商品の発送、関連するアフターサービスの提供のため
・当社の新商品、サービスに関する情報のお知らせのため
3.安全管理措置に関する事項
当社は、個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために、個人データの取得、利用、保存等を行う場合の取扱方法を整備し、必要かつ適切な措置を講じます。
4.委託の取り扱い
当社は、個人データの取り扱いの全部または一部を委託する場合は、個人情報保護法に従って、委託先に対する必要かつ適切な監督を行います。
5.保有個人データの開示等
当社は、本人またはその代理人から、当該保有個人データの開示等の求めがあった場合、遅滞なく回答します。また、個人情報の取り扱いに関する質問および苦情についての窓口を設けて、適切に対応するよう努めます。個人データの開示等の求めの手続き、個人情報の取り扱いに関する質問および苦情につきましては、以下の「個人情報相談窓口」までご連絡ください。
○○○○株式会社 個人情報相談窓口
住所、電話番号、電子メールアドレス、問い合わせ用ウェブサイトのURLなど
○年○月○日
○○○○株式会社
代表取締役 ○○○○
3 「個人情報取扱規程」の策定
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「ガイドライン」)では、中小規模事業者に個人情報取扱規程を策定するところまでは求めていません。しかし、
個人データの取得、利用、保存などの各段階における取扱方法を個人情報取扱規程として定めて遵守することは、情報漏えいなどの事故を防ぐために有効
といえるでしょう。そこで次のような個人情報保護法の基本をルール化し、後述する安全管理措置について具体的に定めるとよいでしょう。
- 利用目的を伝えて個人情報を取得する
- 取得した個人情報を目的の範囲内で利用する
- 取得した個人情報について安全管理措置などを講じて適切に保管する
- 取得した個人情報を第三者に提供する場合は本人から同意を得る
- 取得した個人情報について本人から開示請求等があったら対応する
4 「組織的安全管理措置」の実施
組織的安全管理措置とは、
組織が適切に個人データの安全管理を遂行できるように組織を整備すること
です。中小規模事業者は、最低限、次の対応をすればよいと考えられます。
- 個人データを取り扱う社員が複数いる場合、責任者を決める
- 個人情報保護法に従って個人データを取り扱っているかを責任者が確認する
- 情報漏えい等が発生したときの、社員から責任者への報告体制を整備する
- 個人データの取り扱いについて、責任者が年に1回は点検し、必要に応じて見直す
ガイドラインの内容を整理すると、次のようになります。
5 「人的安全管理措置」の実施
人的安全管理措置とは、
社員に個人データの適正な取り扱いを周知徹底するとともに適切な教育を行うこと
です。具体的な方法としては、
- 個人データの取り扱いに関する留意事項について、社員に定期的な研修等を行う
- 個人データについての秘密保持に関する事項を就業規則等に盛り込む
などがあります。
より具体的には、毎年、情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」などを参考に集合研修を実施することや、個人データを故意に外部に漏らすなどした場合には、懲戒処分の対象となることを就業規則に定めて、社員に周知するなどの取り組みが考えられます。
6 「物理的安全管理措置」の実施
物理的安全管理措置とは、
個人データを扱えるエリアを限定するなどのこと
です。中小規模事業者は、最低限、次の対応をすればよいと考えられます。
- 個人データを取り扱う社員ではない者が、のぞき見などができないようにする
- 個人データが記録されたパソコンなどは、施錠できるところに保管する
- 個人データが記録されたパソコンなどを運ぶときは、パスワードを設定する
- 個人データが記録されたパソコンなどを廃棄するときは、廃棄の事実を責任者が確認する
ガイドラインの内容を整理すると、次のようになります。
7 「技術的安全管理措置」の実施
技術的安全管理措置とは、
個人データを扱うパソコンにアクセス制限をかけるなどのこと
です。中小規模事業者は、最低限、次の対応をすればよいと考えられます。
- 個人データを取り扱うパソコンなどと、それを使える社員を決めておく
- そのパソコンなどには、ID・パスワードの認証を設定しておく
- OSは常に最新にしておく
- セキュリティ対策ソフトなどを導入する
ガイドラインの内容を整理すると、次のようになります。
以上(2022年3月)
(監修 みらい総合法律事務所 弁護士 田畠宏一)
pj60082
画像:ribkhan-Adobe Stock