個人情報の管理についての基本的ルール
個人情報の有効な利活用の促進と、個人の権利利益を保護する、というのが個人情報保護法の主な目的です。個人の権利を侵害しないよう細心の注意を払った上で、個人情報の有効活用を進めるために、企業が気を付けておきたい個人情報の管理方法について解説します。
目次
個人情報管理についての基本ルール
個人情報管理についての基本ルールは、以下の3つが挙げられます。
一つ目は、個人情報保護法第22条が定めるように、個人データ(個人情報データベース等を構成する個人情報)を正確かつ最新の内容に保つよう努めることです。「個人情報取扱事業者」は、その情報内容の正確性を入力、訂正、変更等の各過程でチェックをし、一定の期間毎に、必要な範囲で更新するように努めなければなりません。
二つ目は、個人情報保護法第23条に規定されているとおり、個人データの安全管理のために必要な措置を講じることです。個人情報取扱事業者は、個人データの漏えい、滅失、毀損の防止等の安全管理のために必要かつ適切な措置を講じなければならいとされています。個人情報保護法自体においては、抽象的な表現で定められていますが、ここでの必要な措置とは、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」というようなシステムを構築することです。
三つ目は個人情報保護法第24条、第25条にある、個人データを扱う従業者や委託先に対して監督を行うことです。個人情報保護法は、安全管理措置義務と併せて、個人情報取扱事業者に対して、従業者および委託先についての監督義務を課しています。
個人情報保護法で事業者に要求される安全管理措置とは
上記の基本ルールにもあるとおり、個人情報取扱事業者は、個人情報保護のために安全管理措置を講じなければならないため、個人情報保護委員会は、具体的にどのようなことをすれば良いのか、安全管理措置の内容について、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「10(別添)講ずべき安全管理措置の内容」において言及しています。このガイドラインに沿って、ここでは4つの安全管理措置についてみていきます。
組織的安全管理措置
個人情報を安全に管理するための組織体制を整備することです。情報漏えいを防止するためには、誰がどの情報にアクセスできるのかを明確に定めたり、安全管理を行う責任者を決めておいたりすることが有効です。また、個人データの取り扱いに関する社内規程を整備し、システムログ等の記録の整備を通じて、規律に従った運用を行う事も重要となります。
人的安全管理措置
従業者から情報漏えいしないようにするために、従業者の意識を高める必要があります。定期的な研修等を通じて、個人データの取り扱いについて教育訓練をしたり、個人情報保護のための啓発を行ったりしましょう。従業者との間で秘密保持契約を締結したり、個人データについての秘密保持に関する事項を就業規則等に盛り込んだりするという方法もあります。
物理的安全管理措置
個人データを保管している部屋への入退室を制限するなどして、物理的に情報漏えいを防ぐことです。キャビネットや書庫、搬送容器に鍵を設置する、持ち運ぶ個人データは暗号化したりパスワードを設定したりするなど人為的な漏えいを防ぐための施策を行います。復元不可能な手段で、個人データが記録された書類や電子媒体等を廃棄するなどの措置もこれにあたります。
技術的安全管理措置
個人データを取り扱うシステムへのアクセスを制御したり、不正ソフトウェア対策やシステムの監視を行ったりします。ウィルス対策ソフトウェアやファイアウォール導入など、技術的な面から個人情報の漏えいを防止するため、自動更新機能等の活用により、ソフトウェア等を常に最新状態に保つことが重要となります。
従業者や委託先に対する監督(個人情報保護法第24条、第25条)
上記の基本ルールの三つ目で挙げたように、個人情報保護法は、個人情報取扱事業者に対して、「従業者の監督」(第24条)と「委託先の監督」(第25条)を行うことを求めています。
「従業者」に対する監督
従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認をする等の措置を講じる必要があります。
なお、「従業者」とは、正社員、契約社員、嘱託社員、パート、アルバイト等の雇用関係にある従業員のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれるので注意してください。
「委託先」に対する監督
個人情報取扱事業者は、委託先に対して必要かつ適切な監督をする必要があります。
委託先が過失で情報漏えいをしてしまった場合には、その過失は、個人情報取扱事業者の過失と判断されてしまいますので注意が必要です。
個人データの第三者提供に係る記録の保存期間
企業は取り扱う情報の種類に応じて、一定期間、情報を保存しておく必要があります。
個人データを第三者に提供した場合は、原則、その日から3年間は、提供した年月日、第三者や本人の氏名などの記録を保管する義務があります。個人データを継続的に若しくは反復して提供する場合に一括して記録を作成した場合も個人情報保護法第29条第2項、個人情報の保護に関する法律施行規則第21条第2号にあるとおり、3年間の保管義務があります。個人データを提供した年月日、第三者や本人の氏名、その他の本人を特定できる情報等が契約書などの書面に記載されている場合は、個人情報保護法第29条第2項、同施行規則第21条第1号のとおり、データを第三者に提供したときから1年間保管の義務があります。
個人情報取扱事業者が抱える課題
個人情報取扱事業者にとって課題となっていることには、どのようなものがあるのでしょうか。一般的に多くみられるのが、「個人情報管理の現状把握が出来ていない」ということが挙げられます。自社の個人情報管理の現状が把握できていなければ、適切な対策を立てることは難しくなります。
次に、個人情報管理の体制を築いた後に直面するのが、「個人情報管理のルールが守られているか不安」という課題です。せっかく個人情報管理の社内体制を構築しても、ルールが守られていなければ安全かつ適切な個人情報管理は実現しません。
さらに、個人情報管理体制を実際に運用していく中で出てくる課題が、「従業者の個人情報管理に対する意識を向上させたい」というものです。個人情報漏えいは、従業者の人為的ミスから発生することも少なくありません。
個人情報管理のステップ
上記の課題を踏まえて、高水準の個人情報管理を目指すためには、具体的にどのような対策を行えばよいのでしょうか。
まずは、自社がどのような個人情報を所有しているか、その個人情報がどこにどのぐらいあるのかを把握するために、個人情報管理ツールを利用して個人情報の洗い出しをし、個人情報管理台帳を作成しましょう。
次に、個人情報の管理ルール・体制の構築をしましょう。個人情報の保有や削除のルールを決めて、ルールに違反したファイルがないかチェックする周期を決めることが有効です。
個人情報の管理ルール・体制が構築できたら、実際に運用してみましょう。
個人情報管理ツールを使って、ルールに違反したファイルがないか定期的にチェックし、抜け漏れがないように運用の改善をするなど、この運用サイクルを滞りなく回すことができて初めて、個人情報管理ができているといえます。
最後に、従業者への教育にも力を入れましょう。個人情報漏えいは、従業者の人為的ミスから発生することも少なくありません。人為的ミスをなくすためには、各従業者の個人情報管理意識の向上が必要不可欠です。社内研修などで、従業員の情報セキュリティ教育を行い、個人情報管理ツールを使って、従業者の個人情報管理意識を向上させる事ができます。
まとめ
個人情報の管理におけるミスは、場合によっては違法となり、罰則の対象ともなるため、企業規模の大小を問わず必ず対策し、厳しく管理を行う必要があります。個人情報漏えい事故などが起きれば、会社の信用に関わり、損害賠償などに発展する可能性もあります。
個人情報の管理は、安全管理措置のポイントを網羅した管理体制を構築し、常に慎重に行いましょう。個別のご相談は、お気軽にお問い合わせください。
弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所
※本稿の記載内容は、2023年1月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。