『個人情報取扱事業者』として守るべき4つの義務とは?
2014年にベネッセコーポレーションが2,000万件以上の顧客情報を外部に流出させた事件を覚えているでしょうか?
ベネッセは、被害に遭った顧客全員にお詫びとして500円の金券を送付するなど、巨額の損失を発生させました。
その後も会員数の減少は止まらず、被害者の会による訴訟は今も続いています。
平成27年の個人情報保護法の改正により、ほぼ全ての企業が『個人情報取扱事業者』となり、経営者には遵守すべき義務がいくつも課されています。
単に“情報漏えいを防げばいい”というだけではなく、個人情報保護のルールをしっかり守らなければ、企業の社会的信用を大きく損なうことになるのです。
個人情報とは?
個人情報保護法では、“個人情報”を以下のように定義しています。
『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)』(個人情報保護法第2条第1項・一部要約)。
また、経済産業分野を対象とするガイドラインによると、『“個人に関する情報”は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報』と定められており、顔写真やDNA、指紋、虹彩はもちろん、旅券番号や基礎年金番号、免許証番号、マイナンバーなどの“個人識別符号”も個人情報に含まれます。
では、個人情報はどのように保護すればいいのでしょうか?
遵守すべきルールとは?
個人情報取扱事業者には、主に以下の4つのルールが課せられています。
(1)取得・利用について
・ “新商品のご案内送付のため”や“アフターサービスご案内のため”など、利用目的を具体的に特定し、本人に通知、または公表したうえで、その範囲内でのみ利用すること。
(2)保管について
・ 『紙媒体の書類は、施錠可能な引き出しに保管する』・『パソコンで管理する場合は、ファイルにパスワードを設定する』など、個人情報取り扱いのルールを定め、従業員に周知・教育を行い、漏えいなどが生じないよう安全に管理すること。
・ 個人情報を委託する場合は、委託先にも安全管理の徹底を求めること。
(3)提供について
・ 第三者に提供する場合は、あらかじめ本人の同意を得ること。
・ 第三者に提供した場合、および第三者から提供を受けた場合は、“いつ・誰の・どんな情報を・『誰に提供』もしくは『誰から提供』”などについて記録し、原則3年間は保管すること。
(4)本人からの開示請求への対応について
・ 本人からの開示等の請求があった場合は、これに対応すること。
・ 苦情等に適切かつ迅速に対応すること。
社内でルールを徹底するためには、就業規則に個人情報保護に関する規定を加え、マニュアルを作成するなどの環境整備が必要です。
情報漏えいが起きてしまったときの対応も含め、危機管理に関しては弁護士などの専門家に相談することをおすすめします。