会社が取り扱う個人情報の種類は多岐にわたりますが、個人情報の流出等のニュースが頻繁に流れても、うちの会社には関係ないと考えておられる経営者の方も多いのではないでしょうか。
また、会社で個人情報を安全に管理することの重要性はわかっているものの、日々の業務に追われ、十分に手が回らないというのが実情だと思います。
しかし、プライバシー・個人情報の流出等に対する世間の目は年々厳しくなってきており、個人情報の流出がひとたび生じれば、これまで築いてきた、顧客や取引先の信用を一気に失うことにつながります。
やはり、個人情報保護のための安全管理措置の対策を行うことは、会社の経営・コンプライアンスの観点から、極めて重要なことなのです。
平成27年から個人情報保護法の改正作業が進められてきましたが、この改正個人情報保護法が平成29年5月30日から全面施行されています。改正により、これまで、個人情報保護法の適用対象外であった、中小規模の事業者の方々についても、個人情報保護法が適用されることになりました。
もっとも、中小規模の事業者の方々については、大企業に対して求められるような厳格な安全管理措置ではなく、当面は、比較的緩やかな対応で足りることとされました。
この記事では、中小規模の事業者の皆様が、個人情報保護法が求める安全管理措置として最低限何をしなければならないかを的確に把握され、すぐにでも、対応をとることができるよう、個人情報保護委員会の定めたガイドラインをベースにして、具体的な12の対応策を簡潔にまとめています。ぜひ参考にしてください。
Contents
1 平成27年個人情報保護法改正により、すべての事業者が適用対象となる
1-1 改正前の個人情報保護法の適用対象
個人情報保護法が定める各種の義務を負うのは、同法の「個人情報取扱事業者」に該当する事業者です。
平成27年改正以前は、取り扱う個人情報の件数が5000件未満の小規模の事業者は、この「個人情報取扱事業者」に該当しないとされていたため、個人情報保護法の規制を遵守することは法的義務とはされていませんでした。取り扱う個人情報の件数が5000件を上回った場合のみ、「個人情報取扱事業者」となるため、これを5000件要件と呼ぶことがありました。
1-2 平成27年改正による5000件要件の撤廃
しかし、平成27年以降の改正を経て、平成29年5月30日から施行されている個人情報保護法では、この5000件要件が撤廃されました。
すなわち、個人情報の取扱いが5000件以下である、比較的小規模の事業者であっても、個人情報保護法が定める、情報の安全管理措置等を遵守すべき義務を負うこととなります。例えば、個人で通販サイトを運営する方や、不動産業を営む方、コンサルタント業を営む方等々、個人情報を取り扱う事業者である限り、あらゆる事業者が個人情報保護法の適用対象となります。
5000件要件が撤廃され、取り扱う個人情報の件数を問わず、個人情報保護法の適用対象となる以上、これまで、どちらかというと個人情報の取扱いに留意をしてこなかった事業者の皆様も、その取扱いについて改めて確認をしておく必要があります。
2 まず理解しておくべき、個人情報保護法の骨子
2-1 個人情報保護法のポイントは4つ
2-1-1 比較的理解しやすい3つのポイント(取得・利用・第三者提供)
個人情報保護法が事業者に課している義務は、大きく、次の4つのポイントに分けることができます。
① 個人情報を取得する際の義務
② 個人情報を利用する際の義務
③ 個人情報を第三者に提供する際の義務
④ 個人情報の安全管理措置に関する義務
このうち、①~③の概要は、次のとおりであり、比較的、わかりやすい内容となっています。
これら①~③については、個人情報保護法の条文上、個人情報取扱事業者がなすべきことが一義的に明確であり、また、対象となる事業者の規模によって取り扱いを区別する条文上の根拠がありません。そのため、新たに個人情報保護法の適用対象となった小規模な事業者であっても、5000件をはるかに上回る個人情報取扱事業者と同様に遵守をしなければなりません。
もっとも、これら3つの義務は、事業者が何をすべきか明確であり、かつ、対応がそれほど困難なものでもないため、これまで個人情報保護法の適用対象外であった事業者であっても、既にその多くが遵守しているのではないかと思われます。また、後ほどご紹介するプライバシーポリシーのひな形も、これら①~③の内容を盛り込んだ内容としています。
① 個人情報を取得する際の義務=個人情報取得時の利用目的の公表・通知
「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」(個人情報保護法18条1項)
② 個人情報を利用する際の義務=取得した個人情報の目的外利用の禁止
「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」(同法16条1項)
③ 個人情報を第三者に提供する際の義務=本人の同意なく、第三者に提供することは原則禁止
「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」(同法23条1項柱書)
2-1-2 最も理解しづらいのが「安全管理措置」
問題は、④個人情報の安全管理措置に関する義務です。
安全管理措置に関する個人情報保護法20条は、以下のとおりですが、条文をみても「必要かつ適切な措置」とは何なのか、何をすればよいのか、必ずしも明らかではありません。
個人情報保護法20条 (安全管理措置)
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」
そこで、これを明確にするため、個人情報保護委員会は、すべての事業者が遵守すべきものとして、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下、「通則」といいます。)を定めています。
通則は、こちらで確認をすることができます。
2-2 中小規模事業者は、緩やかな安全管理措置を実施すれば足りる
通則の重要な点は、実施すべき安全管理措置に関して、従業員の数が100人以下の個人情報取扱事業者(中小規模事業者)に限っては、(大企業等に比べて)緩やかな特例的な対応で足りるとしている点です(通則86頁以下)。
ただし、従業員の数が100人以下であっても、①個人情報の取扱い件数が5000件を超える者、②第三者から委託を受けて、個人データを取り扱う者は、この特例的な取り扱いの対象とはなりませんので、注意が必要です。
以下では、「中小規模事業者」が、安全管理措置として最低限何をしなければならないか、「通則」の内容をもとに、12のポイントを具体的に確認していきます。
通則は、①組織的な安全管理措置、②人的な安全管理措置、③物理的な安全管理措置、④技術的な安全管理措置に大きく分けて、さらにその中で細分化し、中小規模事業者が実施すべき13の具体的な措置を定めています。
3 中小規模事業者が最低限実施すべき安全管理措置(12のポイント)
3-1 組織的な安全管理措置
3-1-1 ポイント① 組織体制の整備
「個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する」(通則89頁)
具体的には、社内で、個人情報取扱責任者を定め、単純に事務作業を行うものと区別し、個人情報の管理に関する責任の所在を明確にすることが必要です。
3-1-2 ポイント② 個人データの取扱いに関する規律に従った運用と、その取扱状況を確認する手段の整備
「あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。」(通則90頁)
対外的に、プライバシーポリシー等の名称で、基本方針を既に定めておられる会社も多くありますが、ごく一般的なプライバシーポリシーの例としては、こちらを参考にしてください。
これとあわせて、以下のポイント③~⑫を基本とした、社内での個人情報取扱の具体的なルールを確立し、実際にそれに従った運用がなされているか、個人情報取扱責任者が定期的に状況を確認することが重要です。
3-1-3 ポイント③ 漏えい等の事案に対応する体制の整備
「漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。」(通則91頁)
安全管理の体制をとっていても、漏えい事故を完全に防ぐことはできません。漏えい事故が起きたときに、速やかに、原因を特定し、被害の拡大を防ぐことを可能にするため、個人情報取扱責任者の下に情報を集約するためのフロー(責任者不在時の対応も含めたフロー)をあらかじめ確立しておくことが必要です。
3-1-4 ポイント④ 取扱状況の把握及び安全管理措置の見直し
「責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う」(通則91頁)
会社がルールとして従業員に周知している安全管理措置(3-3以下で述べる、ファイルへのパスワードの設定等)が適切に守られているか、個人情報取扱責任者が、定期的に確認をすることが必要です。
3-2 人的な安全管理措置
3-2-1 ポイント⑤ 従業員に対する教育
「個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。」(通則92頁)
会社が安全管理措置に関するルールを定めたとしても、実際に個人情報を取り扱う従業員にそれが周知されていなければ意味がありません。
そのため、定期的に、従業員に対して研修を行う(あるいは、個人情報取扱責任者による点検の結果をフィードバックする)ことで意識を高めることが必要です。
3-3 物理的な安全管理措置
3-3-1 ポイント⑥ 個人データを取り扱う区域の管理・機器及び電子媒体等の盗難の防止
「個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。」
「個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。」
「個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。」(通則94頁)
個人情報が部外者の目に触れないように管理したり、あるいは、従業員が個人情報に関する書類・データを容易に社外に持ち出すことができない仕組みを作ることが必要です。
また、個人情報が記載された書類を、施錠できるキャビネットで保管する場合、その鍵は個人情報取扱責任者が責任をもって管理することになります。
3-3-2 ポイント⑦ 電子媒体等を持ち運ぶ場合の漏えい等の防止
「個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。」(通則94頁)
業務の必要上、社外に個人情報を持ち出す場合には、会社が管理するUSBメモリー(パスワード付)及びモバイルPC(同様にパスワード付)以外を使用してはならないことなどをルール化することが必要です。パスワードも、定期的に変更するなどの措置をとるべきでしょう。
3-3-3 ポイント⑧ 個人データの削除及び機器、電子媒体等の廃棄
「個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。」(通則95頁)
不要になった個人情報は都度削除しなければなりませんが、例えば、紙媒体の個人情報を廃棄する場合には、常にシュレッダーで処理することや、パソコンを廃棄する場合には、物理的に破壊する、あるいは専門業者に委託する(廃棄証明書の交付を受ける)等、データの削除等に関するルールを確立し、個人情報取扱責任者がその運用をチェックする必要があります。
3-4 技術的な安全管理措置
3-4-1 ポイント⑨ アクセス制御
「個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。」(通則97頁)
社内で使用する、個人情報が記載されたデータファイルにパスワードを設定し、これにアクセスすることができる従業員以外がパスワードを知ることができない体制をとる等の対応が必要となります。
3-4-2 ポイント⑩ アクセス者の識別と認証
「機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。」 (通則97頁)
個人情報の入ったパソコンにアクセスするためには、ID・パスワードを入力しなければならない設定にしておく必要があります。
3-4-3 ポイント⑪ 外部からの不正アクセス等の防止
「個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。」
「個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。」(通則98頁)
Windows等のOSのアップデート、ウイルス対策ソフトの導入・自動アップデートにより、ウイルス感染・不正アクセスを通じて、個人情報が漏えいする事態を防止する必要があります。
3-4-4 ポイント⑫ 情報システムの使用に伴う漏えい等の防止
「メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。」(通則98頁)
個人情報が記録されたワードやエクセル、PDF等のファイルを添付ファイルとして送る場合、パスワードを設定することを義務付ける必要があります。このパスワードは、外部から推知されやすいもの(社名等)は避けなければなりません。
4 まとめ
安全管理措置のうち、例えば、データファイルへのパスワード付与や、パソコンのセキュリティ対策ソフトの常時のアップデート等、通則が例示する内容をすでに実施している事業者の方も多くおられると思います。
通則が、中小規模事業者に求める安全管理措置の内容は、おそらく、経営者の皆様が想像されていたよりも、簡単な(現実的な)内容だったのではないでしょうか。しかし、ある程度簡単な内容であるからこそ、仮にこの程度の安全管理措置すら講じず、個人情報の流出事故を生じさせた場合には、強い非難を受けることになります。
しかし、平成27年改正法の施行のタイミングで、自社の個人情報安全管理措置として、最低限、通則が例示している事項が遵守できているか、改めてチェックをしてみることが必要であると思います。