どうすればいい個人データの具体的な情報管理
「情報管理についての規定」は、個人情報取扱事業者の義務に含まれます。
今回、小さな会社やお店が何をしなければいけないのか情報管理の内容に改正はありませんが、
以下で説明します。
情報管理について、次の4点をすべての会社が行う必要があります。
①個人データの安全管理措置
②従業員に対する監督
③委託先に対する監督
④データの内容の正確性の確保等
と「①安全管理措置を講じて、②従業員に対する監督をして、③委託先に対する監督をする」、
以上義務となっています「④データの内容の正確性の確保等」は努力義務になります。
情報管理を小さな会社やお店がどう行えばいいのか、解説します。
①の「個人データの安全管理措置」は、「必要かつ適切な措置」を講じる義務があります。
それは、個人データの漏えい、減失またはき損の防止その他の個人データの安全管理のためです。
マイナンバー法にも安全管理措置あり、同じように個人情報保護法でも
安全管理措置が定められています。
簡単すると、マイナンバーの安全管理措置よりも少し規定が穏やかなのが、
個人データの安全管理措置です。
具体的には、その内容はガイドラインに示されています。
②の「従業員に対する監督」と③の「委託先に対する監督」は、従業員に対する必要かつ適切
な監督と、委託先に対する必要かつ適切な監督があります。
④の「データの内容の正確性の確保等」は、「個人データを正確かつ最新の内容に保つよう努
めなければならない」とされ、このように努力義務が定められました。
また、改正法で追加されたのが消去の努力義務で注意が必要です。
6つ具体例をあげている「安全管理措置」とは?
「必要かつ適切な監督」すなわち、安全管理措置はガイドラインによれば、以下の6つを具体
的にあげています。
①基本方針の策定
②個人データの取扱いに係る規律の整備
③組織的安全管理措置
④人的安全管理措置
⑤物理的安全管理措置
⑥技術的安全管理措置
会社・店の規模にかかわらず、小さなお店・会社も守る必要があります。
会社・店の規模で義務は軽くなる?
従業員の数が100人以下の会社がガイドラインでは、「中小規模事業者」と呼ばれて、安全管
理措置に軽減措置があります。
ただし、個人情報の本人の数が過去6カ月以内に5000人を超えるお店・会社、他社から委託を
受けて個人データを取り扱うお店・会社は、従業員100人以下であっても中小規模事業者には
ならないので、気をつける必要があります。
「従業員の数」は、派遣労働者を除く、労働基準法により解雇予告が必要となる労働者の数を
指しています。
①義務ではないが重要な基本方針の策定とは?
「個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定する
ことが重要である」
とガイドラインではされています。
上記を読むと義務ではないが重要だ、ということになります。
「重要である」とありますが、策定することは義務ではないですよ、という意味です。
一般的には、「プライバシーポリシー」や「個人情報保護方針」と呼ばれて、よくホームペー
ジなどで公開されているのが「基本方針」です、これを目にしたことがある方も多いのではな
いでしょうか。
基本方針には何を定めておくものかを
ガイドラインは、これに「例」をあげていて、以下を決めておくことになります。
・事業者の名称
・関係法令・ガイドライン等の遵守
・安全管理措置に関する事項
・質問及び苦情処理の窓口
②個人データの取扱いに係る規律の整備とは?
「個人データの取扱いに係る規律の整備」がガイドラインではが義務であるとしています。
一般的には「個人情報取扱規程」のような社内規程を「規律」としてイメージしますが
詳細に社内規程を策定することまでは従業員100人以下等の「中小規模事業者」においては、
求められていません。
「個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する」
ということは、ガイドラインでは上記のことが考えられるとされているだけです。
したがって、社内で「取得の際には利用目的を伝える」「利用の際には利用目的の範囲内で使
う」とルール化した上で、つぎに安全管理措置をルール化していけば問題ありません。
中小規模事業者にあたらない大きな会社の場合は、「取得、利用、保存、提供、削除・廃棄等の
段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規
程を策定することが考えられる。なお、具体的に定める事項については、以降に記述する組織
的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容並びに情報システム(パソ
コン等の機器を含む)を使用して個人データを取り扱う場合(インターネット等を通じて外部
と送受信等する場合を含む)は技術的安全管理措置の内容を織り込むことが重要である」と
なっています。
4つの義務の「③組織的安全管理措置」とは?
ガイドラインでは「組織的安全管理措置」として、以下を義務としています。
これらのことは、以下のようになります。
中小規模事業者があまり難しく考える必要はありませんが
必ず、実行するようしましょう。
①個人データを取り扱う担当者が複数人いたとしても責任者を決める
②③個人データの取り扱いに問題がないか、社内の個人データを把握して、その運用を責任者
が確認する
④情報漏えいなどが発生したときに、社内の誰に連絡するかなど対策と方針を決めておく
⑤年に1回程度、責任者が取り扱いについて再確認する
適切な教育が必要な「④人的安全管理措置」とは?
「従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければな
らない。」と人的安全管理措置では、されています。
すべての会社・お店が、従業員教育を等しく行わなければなりません。
これについては、中小規模事業者に対する軽減はありません。
たとえば以下のことを行うことが考えられるとガイドラインではされています。
・個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う
・個人データについての秘密保持に関する事項を就業規則等に盛り込む
具体的には、定期的に報道された個人情報漏えい事故を皆で振り返りをおこなったり、
個人情報取扱責任者による点検の結果をフィードバックしたりすることで意識を高めることが
必要です。
軽減措置がある「⑤物理的安全管理措置」とは?
以下を行うことが、物理的安全管理措置の義務とされています。
この「物理的安全管理措置」には、中小規模事業者において軽減措置がもうけられています。
しかし、少し細かいことも規定されていますので、注意が必要です。
行うことは、以下のことになります。
①できる限り個人データを扱う人いがいが見ることができないようにする
②盗まれないように書類やデータはカギのかかるところに保存するなど、管理をしっかりする
③パスワードをかけ持ち運ぶときには、万が一盗難・紛失しないようにする
④データや書類を廃棄する際には、データの完全消去等、シュレッダーにかける
【大きな会社の場合の対応の例】
①管理区域には入退出管理、取扱区域には壁または間仕切り等の設
置や事務取扱担当者以外の者の往来が少ない場所への座席配置の工夫等の安全管理措置を講じる
②書類やデータはカギのかかるところに保存することや、取扱う情報システムが機器のみで運
用されている場合は、セキュリティワイヤー等により固定盗まれないようにする
③持ち出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等
④組織を作って漏えい等が発生した場合にそなえる
⑤廃棄の際には、シュレッダーにかけるなどした上で、定められた保存期間は記録に残すこと
が重要である
パソコンで個人データを取り扱う際の「⑥技術的安全管理措置」とは
以下のとおりです。
①パソコンを決めて、個人データを取り扱う
②起動時のID/パスワードなどを設定してたパソコンを使用する
③最新の状態にOSをする
④パスワードを設定してメールで送信する
【大きな会社の場合の対応の例】
①アクセス権の設定して個人データを取り扱う
②ノートPC ハードディスクの暗号化の実施やID/パスワードでの認証を行う
③ウイルス対策ソフトの導入、ファイアウオールの設置
④システム設計時からセキュリテイを考慮する、通信経路を暗号化する、情報システムの使用
状況の定期的な監視、送信データにあらかじめパスワードを設定する
「まとめ」
これまで、個人データを「管理」する上での注意すべき点をみてきました。
再度、ポイントだけ抑えていきましょう。
情報管理おいて、次の4点をすべての会社が行う必要あります。
①個人データの安全管理措置
②従業員に対する監督
③委託先に対する監督
④データの内容の正確性の確保等
そして、「安全管理措置」として、前項であげた6点をすべての会社が行う必要あります。
・「③組織的安全管理措置」としては、義務があり、これも、中小規模事業者がおこなう必要のあるものです。
・「④人的安全管理措置」としては、取扱いを周知徹底するとともに適切な教育をする義務があります。
・「⑤物理的安全管理措置」としては、前項であげた4点を行うことが義務となっていますが、軽減措置があります。
・「⑥技術的安全管理措置」としては、前項であげた4点を行うことが義務となっています。
以上のことをふまえ、法的責任が拡大したいま、情報セキュリティへの取り組みは優先課題と
なっています。