個人情報の保護対策準備はすすんでいますか?
皆様こんにちは。いよいよ雪がちらつく季節となり、食欲の〝秋〟も終わりを迎え
私の膨張もようやく歯止めがかかるのではないかと期待しておりますが、忘年会新年
会と控えていますのでまだ油断ができない状況です。道路交通法の改正により
11月1日から運転中の携帯電話を持っての通話が禁止となり、ハンズフリー用のアイ
テムを購入した人も多いかと思います。私もようやく最近になって購入して利用しま
したが、両手が空いていて電話ができるということで運転が楽なのと、電話を持たな
いせいか、感覚的に助手席に乗っている人とお話しているようで、以外にいいものだ
なと感心しました。
さてもう一つ法律がらみの話題で、来年4月に完全施行される『個人情報保護法』
があります。今回はこの『個人情報保護法』についてお届けしたいと思います。内容
的にあまり楽しくはないかもしれませんが、「知らなかった」では済まされませんの
で、どうぞ最後までお付き合いください。
これまでルールが明確でなかった企業の個人情報の取り扱いが法律で決められるこ
とになり、違反した企業には罰則が科せられます。以下に個人情報保護法の骨子を紹
介します。
個人情報保護法の骨子
・個人情報の利用目的を特定。利用目的を超えた個人情報の取り扱いの原則禁止
・個人情報の安全管理のために必要かつ適切な措置、従業者・委託先に対する監督
・本人の同意を得ない個人情報の第三者提供の原則禁止、委託、合併等の場合、特
定のものとの共同利用の場合(共同利用することを通知している場合)は第三者
提供とならない。
・本人の求めに応じ、保有する個人情報の開示、訂正、利用停止の義務
・個人情報の取り扱いに関する苦情の適切かつ迅速な処理・規定に違反すると6カ
月以下の懲役または30万円以下の罰金など。
となっています。『個人情報保護法』の話を進める上でまず〝個人情報〟について
整理したいと思います。『個人情報保護法』では、個人情報の概念を3種類に分けて
いて、一番大きい概念は「個人情報」、その中に「個人データ」さらにその中に「保
有個人データ」となっています。
1.個人情報
特定の個人を識別できる情報。
2.個人データ
個人情報を検索できるように、体系的に構成したもの。パソコンなどに入力さ
れたデータや、紙であっても50音順に並べ替えを行ったり、見出しなどを付け
たもの。
3.保有個人データ
個人データのうち、開示、内容の訂正、追加又は削除、利用の停止、消去及び
第三者への提供の停止を行うことのできる権限があるもので、6ヶ月以上保有
するもの。
上記のどの段階の個人情報を保有するかによって企業の義務が変わります。
1.個人情報
個人情報を取得する時と、苦情処理について義務があります。
2.個人データ
個人情報を取得後の、保管・利用・提供について義務があります。
3.保有個人データ
開示・訂正・削除・利用停止などについて義務があります。
気になるのは、『個人情報保護法』においてどういう場合に監督責任が生じるのか
という点だと思います。上記の内容から簡単にまとめますと「過去6ヶ月間に一度で
も、整理された個人情報を5001件以上保有したことがある企業や組織」を〝個人情報
取扱業者〟と呼び、監督責任が生じます。
保有件数が5001件もないから〝個人情報取扱業者〟に当てはまらないと思われるか
もしれませんが、〝個人情報〟は単に顧客名簿の情報数ではなく、顧客、取引先、従
業員などのありとあらゆる〝個人情報〟の合計(頭数)で判断します。また、データ
も電子データだけでなく、紙に書いた氏名や住所、50音順に整理した名刺なども含ま
れますので注意が必要です。
〝個人情報取扱業者〟は、たとえ従業員が数人であっても、きちんと(保護法に触
れないように)従業員のデータを管理しなければなりません。また、個々の社員が仕
事で交換した名刺も整理して保管していた場合は企業の監督責任が生じます。逆な言
い方をすると、名刺が何万枚あったとしても、バラバラと段ボールに入れてある名刺
など、整理していない〝個人情報〟が漏れた場合は『個人情報保護法』における監督
責任の対象外となります。道義的にそんな会社はないと思いますが。。。
『個人情報保護法』では生身の人の情報が保護対象となり、法人の情報は営利法人
非営利法人を問わず保護の対象にはなりません。ここで注意が必要なのは、たとえば
取引先一覧を法人情報から作成する際に「○○商事株式会社 電話:XXX-XXX-XXXX」
という形式で作成していれば〝個人情報〟にあたりませんが、そこに代表者名を入れ
て「○○商事株式会社 代表取締役□□□□ 電話:XXX-XXX-XXXX」という形式で作
成すると、あくまでも法人情報の一部なのですが、「特定の個人を識別できる情報」
ということになり、〝個人情報〟として取り扱わなければなりません。公開されてい
ると〝個人情報〟に該当しないように思えますが、「生存する個人を特定できる
情報」はすべて〝個人情報〟となります。法的な解釈をいちいち取り入れて日常業務
を遂行するのは面倒で大変ですから、個人の氏名と結びついている情報は〝個人
情報〟と捉えるのが無難だと思います。
「明確な使用目的がない限り情報は持たないほうがいい」というのが原則にはなり
ますが、それは極論に近いものもあります。取引がなくなってすぐに情報を破棄でき
れば良いのですが、取引履歴の確認などビジネス上で利用する可能性を考えるとすぐ
には破棄できないと思います。「保有するデータは必要最小限にする」、「データの
取扱ルールを明確にする」という2点がデータ管理上で重要になってきます。例えば
取引終了後一定の時間が過ぎたものは、通常利用しているものとは別のデータベース
に保管し、本来のデータベースとはアクセスできる権限を別にする。さらに一定期間
が経過したら完全に削除するなどというルールを設けて、誰も使っていなく管理もさ
れていない情報を存在させないように対策するのが良いかと思います。
また、『個人情報保護法』では、消費者から自分の〝個人情報〟の開示を請求され
た場合にはそれに応じる義務があります。〝個人データ〟がきちんとした形で整備さ
れていれば、開示請求に応じることは難しくありませんが、下記のような対応方法を
明確にする必要が出てきます。
1.どのような方法で誰が請求を受け付けるのか
2.請求者の本人性をどのように確認するのか
3.開示する〝個人情報〟をどのように提供するのか
特に2番は〝なりすまし〟による個人情報詐取を避けるためには、請求者が本人で
あるかの確認が絶対に欠かせません。本人確認を行う際に取得した情報が新たな〝個
人情報〟になってしまうこともあります。本人確認を行う情報をどのように送っても
らうか、本人確認を行ったあとはどのように情報を破棄するかなどの対応ルール(マ
ニュアル)を作成することが必要です。
万が一、個人情報が漏洩してしまったらどうなるかという点も気になる部分だと思
います。調べてみたところ、漏洩してしまってもすぐには刑罰に問われることはない
ようです。義務違反が発覚した場合にまず監督官庁が「中止・是正勧告」を出し、そ
れに従わない場合は「中止・是正命令」を発し、それでも措置がされない場合に告訴
して刑罰になります。ただし、これは民間企業の場合で行政機関の場合は別に『行政
機関個人情報保護法』で強い罰則規定があります。これは行政機関から個人情報に関
する業務を請け負った民間企業にも適用されますので、その点はご注意ください。
最近は手軽なUSBメモリが普及しており、便利な反面大量のデータが手軽に持ち出
せる(持ち出される)危険が潜んでいます。情報のトレーサビリティを実現するソフ
トウェアなどでの対策方法もございますが、それなりに高価ですので、完全な防止対
策ではありませんが、USBのポートに「VOID(ボイド)シール」(一度貼ると剥がす
際に「VOID」と文字が残るシール)を貼ってちょっとした出来心や過失を抑制すると
いう方法もあります。
情報が漏洩してもすぐに罰せられはしませんが、大切な〝信用〟をなくしかねませ
んので、今ある環境やシステムの中でアクセス制御対策や対応マニュアルなどを作成
し社内に〝情報の保護〟の意識を徐々に浸透させ準備を進めていただければよいかと
思います。
内容がややこしいうえに堅く、さらに毎度毎度同じ締め言葉で大変恐縮ですが、ご
不明な点や対策のご相談があれば是非、弊社にお気軽にお声をおかけください。
(Black Knight)