個人情報保護法第20条では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」とされています。
具体的には、個人情報保護委員会「個人情報保護法ガイドライン(通則編)」の「8(別添)講ずべき安全管理措置の内容」(以下「ガイドライン」)に、講じなければならない措置や当該措置を実践するための手法例が示されています。
ガイドラインを基に、中小規模事業者(従業員数100人以下の個人情報取扱事業者)の視点から、どのような対応が求められるのか確認していきましょう。
1 基本方針の策定
ガイドラインでは、「個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である」とされています。基本方針の策定や公表は義務ではありませんが、個人データの取り扱いに係る規律の整備や安全管理措置を講じるためにも、基本方針を策定しておくことが大切です。実際、個人情報保護方針(プライバシーポリシー)として、基本方針を公表している会社も多いですが、これが会社としての姿勢を示すものになります。
基本方針に定める項目の例として、ガイドラインでは「事業者の名称」「関係法令・ガイドライン等の遵守」「安全管理措置に関する事項」「質問及び苦情処理の窓口」等を挙げています。これらの事項を網羅するのが望ましいといえます。
2 個人データの取り扱いに係る規律の整備
ガイドラインでは、「取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない」とされています。
個人データの取得、利用、保存、提供、削除・廃棄などの段階ごとに、取扱方法、責任者・担当者およびその任務などについて定めた「個人情報取扱規程」を策定することが考えられます。
なお、ガイドラインでは、中小規模事業者に対しては、「個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する」という手法が例示されているものの、詳細な規程を策定することまでは求めていません。
例えば、「利用目的を特定し、同意を得て個人情報を取得する」「取得した個人情報を利用目的の範囲内で使う」「取得した個人情報について安全管理措置などを講じて適切に保管する」「取得した個人情報について本人から開示請求等があったら対応する」といった個人情報保護法の基本をルール化し、後述する安全管理措置でより具体的なルールを定めるとよいでしょう。
(注)中小規模事業者とは、従業員の数が100人以下の事業者です。ただし、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6カ月以内のいずれかの日において5000を超える者と、委託を受け個人データを取り扱う者は、中小規模事業者には含まれません。
3 組織的安全管理措置
ガイドラインでは、組織的安全管理措置として、次に掲げる措置を講じなければならないとされています。
- 組織体制の整備
- 個人データの取扱いに係る規律に従った運用
- 個人データの取扱状況を確認する手段の整備
- 漏えい等の事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
中小規模事業者以外の個人情報取扱事業者に対しては、措置の内容に応じた手法が細かく例示されています。一方、中小規模事業者における手法の例示を見ると、中小規模事業者は最低限、次の対応をすればよいと考えられます。
- 個人データを取り扱う従業者が複数いるならば、その責任者を決めておく
- ルール化した個人情報保護法の基本に従って個人データを取り扱っているか、責任者が確認する
- 情報漏えい等が発生したときの、従業者から責任者への連絡体制をあらかじめ決めておく
- 個人データの取り扱いについて、責任者が年に1回は点検し、必要に応じて見直す
4 人的安全管理措置
ガイドラインでは、人的安全管理措置として、「従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない」とされています。この従業者の教育に関しては、中小規模事業者に対する軽減はありません。
ガイドラインでは、次の手法が例示されています。
- 個人データの取り扱いに関する留意事項について、従業者に定期的な研修等を行う
- 個人データについての秘密保持に関する事項を就業規則等に盛り込む
例えば、毎年、個人情報保護に関する研修を実施することや、個人データを故意に外部に漏らすなどした場合には懲戒処分の対象となることを就業規則に定めて、従業者に周知することなどが考えられます。研修のやり方は、全従業者を対象とした講義形式に限りません。部署ごとに個人データの取り扱いに関する責任者からの講話を行うことや、eラーニング、標的型メール攻撃を疑似体験する抜き打ちの訓練など、さまざまな形式が考えられます。
5 物理的安全管理措置
ガイドラインでは、物理的安全管理措置として、次に掲げる措置を講じなければならないとされています。
- 個人データを取り扱う区域の管理
- 機器及び電子媒体等の盗難等の防止
- 電子媒体等を持ち運ぶ場合の漏えい等の防止
- 個人データの削除及び機器、電子媒体等の廃棄
中小規模事業者以外の個人情報取扱事業者に対しては、措置の内容に応じた手法が細かく例示されています。一方、中小規模事業者における手法の例示を見ると、中小規模事業者は最低限、次の対応をすればよいと考えられます。
- 個人データを取り扱う従業者以外の者が、のぞき見などをできないように工夫する
- 個人データが記録されたパソコンやUSBメモリ、個人データが記載された書類などは、施錠できるところに保管して、盗難されないようにする
- 個人データが記録されたパソコンやUSBメモリ、個人データが記載された書類などを持ち運ぶときは、パスワードを設定したり、封筒に入れた上で鞄に入れたりするなど、すぐに情報が漏えいしないように備える
- 個人データが記録されたパソコンやUSBメモリ、個人データが記載された書類などを廃棄するときは、廃棄したことを責任者が確認する
6 技術的安全管理措置
ガイドラインでは、技術的安全管理措置として、次に掲げる措置を講じなければならないとされています。
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報システムの使用に伴う漏えい等の防止
中小規模事業者以外の個人情報取扱事業者に対しては、措置の内容に応じた手法が細かく例示されています。一方、中小規模事業者における手法の例示を見ると、中小規模事業者は最低限、次の対応をすればよいと考えられます。
- 個人データを取り扱うパソコンと、それを使える従業者を決めておく
- そのパソコンには、ID・パスワードの認証を設定しておく(ID・パスワードの共有はしない)
- OSは常に最新にしておく
- セキュリティ対策ソフトなどを導入する
- メールで個人データの含まれるファイルを送信するときは、そのファイルにパスワードを設定する
このように、個人情報を事業で取り扱う事業者(個人情報取扱事業者)は、個人情報保護方針(プライバシーポリシー)を策定し、法令やガイドラインに従って社内ルールを整備し、4つの側面(組織的、人的、物理的、技術的)から安全管理措置を講じることが求められます。
実際に個人データを取り扱うのは従業者になるわけですが、個人情報取扱事業者は、個人情報保護法第21条に基づき従業者に対する監督をしなければなりません。
次回は、個人情報の取り扱い実務に携わる従業者(従業員、派遣労働者等)の監督について紹介します。
連載
個人情報保護への対応
以下の記事もあわせてご覧ください。
- 第1回 個人情報保護法の改正。中小企業の対応は?
- 第2回 過去の失敗に学べ。個人情報保護で重要な組織と人の問題
- 第3回 4つの安全管理措置の概要と押さえておくべきポイント
- 第4回 個人情報の取り扱い実務に携わる従業者の監督
- 第5回 従業者の教育等。会社がやるべきこととは?
- 第6回 本人による保有個人データの開示等の請求への対応
以上
※上記内容は、本文中に特別な断りがない限り、2019年4月2日時点のものであり、将来変更される可能性があります。
※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。
【電子メールでのお問い合わせ先】inquiry01@jim.jp
(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)
ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。