1 個人データを自ら取り扱う場合のルールは3つ

個人データを個人情報取扱事業者(会社)が自ら取り扱う場合、守らなければならないルールが3つあります。具体的には

  • データ内容の正確性を保ち、必要がなくなったら消去する
  • 安全管理措置を講じる
  • 従業者を監督する

です。以降でポイントを確認していきましょう。

2 データ内容の正確性を保ち、必要がなくなったら消去する

個人データは、正確かつ最新の内容に保つとともに、利用する必要がなくなったときは遅滞なく消去するよう努めなければなりません。

「正確かつ最新の内容に保つ」とはいえ、保有する個人データをすべて、いつも最新化しなければいけないわけではありません。それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば大丈夫です。

また、「遅滞なく消去する」といっても、具体的に「いつまでに」「○日以内に」という期限は特にありません。業務の遂行上の必要性や引き続き個人データを保管した場合の影響等も勘案し、必要以上に長期にわたることのないようにしましょう。ただし、他の法令で保存期間が定められている場合があることに気をつけなければいけません。例えば、賃金台帳は労働基準法に基づき原則5年間保存が義務付けられています。

3 安全管理措置を講じる

取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。

個人データの「漏えい」とは個人データが外部に流出すること、「滅失」とは個人データの内容が失われること、「毀損」とは個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます(3つまとめて、「漏えい等」といいます)。

「安全管理のために必要かつ適切な措置」については、「個人情報の保護に関する法律についてのガイドライン(通則編)」に具体例が示されています。この記事の第5章で、参考として、社員数100人以下の「中小規模事業者」が講じるべき安全管理措置について紹介しています。最低限対応しないといけない内容ですので、確認してみてください。

■ガイドライン10 (別添)講ずべき安全管理措置の内容■

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10

4 従業者を監督する

従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません。

「従業者」は、雇用関係にある社員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけではなく、取締役、執行役、理事、監査役、監事、派遣社員なども含まれます。

「必要かつ適切な監督」は、前述した安全管理措置で「やる」と決めたことがしっかり守られているかチェックすることです。

5 (参考)「中小規模事業者」が講じるべき安全管理措置

ガイドラインの10「(別添)講ずべき安全管理措置の内容」で例示されている中小規模事業者における手法を紹介します。

1)基本方針の策定

「事業者の名称」「関係法令・ガイドライン等の遵守」「安全管理措置に関する事項」「質問および苦情処理の窓口」などの項目を策定する

2)個人データの取り扱いに係る規律の整備

個人データの取得、利用、保存等を行う場合の基本的な取り扱い方法を整備する

3)組織的安全管理措置

  • (組織体制の整備)個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する
  • (個人データの取り扱いに係る規律に従った運用・個人データの取扱状況を確認する手段の整備)あらかじめ整備された基本的な取り扱い方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する
  • (漏えい等事案に対応する体制の整備)漏えい等事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する
  • (取扱状況の把握および安全管理措置の見直し)責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う

4)人的安全管理措置

  • (従業者の教育①)個人データの取り扱いに関する留意事項について、従業者に定期的な研修等を行う
  • (従業者の教育②)個人データに付いての秘密保持に関する事項を就業規則等に盛り込む

5)物理的安全管理措置

  • (個人データを取り扱う区域の管理)個人データを取り扱うことのできる従業者および本人以外が容易に個人データを閲覧等できないような措置を講じる
  • (機器および電子媒体等の盗難等の防止①)個人データを取り扱う機器、個人データが記録された電子媒体または個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する
  • (機器および電子媒体等の盗難等の防止②)個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する
  • (電子媒体等を持ち運ぶ場合の漏えい等の防止)個人データが記録された電子媒体または個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講じる
  • (個人データの削除および機器、電子媒体等の廃棄)個人データを削除し、または、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する

6)技術的安全管理措置

  • (アクセス制御)個人データを取り扱うことのできる機器および当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する
  • (アクセス者の識別と認証)機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する
  • (外部からの不正アクセス等の防止①)個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する
  • (外部からの不正アクセス等の防止②)個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする
  • (情報システムの使用に伴う漏えい等の防止)メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する

7)外的環境の把握

外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じる

以上(2024年12月更新)

pj60082
画像:ribkhan-Adobe Stock

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です