【ワタナベ先生に聞くシリーズ②】社内の個人情報管理って、一体どうすればいいの?

  • calendar2022.09.14
  • reload2022.10.27
プライバシーテック研究所

営業やイベントの集客などで社内にはさまざまな個人情報があるけれど、、、、なんか触るの怖いなあ。このような個人情報って一体どうやって管理すればいいの?

プライバシーテック研究所ワタナベ先生

弁護士のワタナベです。 どうやら社内にある個人情報の管理にお困りのようですね。

今回は社内にある個人情報の管理をする際に担当者が取り組むべきこと、気をつけるべきポイントをご説明しますね!

弁護士 渡邊涼介 氏(通称、ワタナベ先生) プロファイル

2007年に弁護士登録。企業法務を中心に、個人情報保護法や電気通信事業法の専門家として活躍中。総務省の総合通信基盤局の任期付公務員として、プライバシー・個人情報保護を担当し、2015年の個人情報保護法改正にも関わった。本テーマに関連する著書として、『データ利活用とプライバシー・個人情報保護』(青林書院、2020年)がある。

プライバシーテック研究所

そもそもなのですが、最近個人情報の漏えいのニュースをよく耳にします。このような事態となった場合、個人情報が漏えいした場合には企業にどのような影響があるのでしょうか?

プライバシーテック研究所ワタナベ先生

企業への影響はいろんなものが考えられます。現行法で個人情報が漏えいした場合に必要となる対応や想定されるリスクは5つあります。なお、個人情報保護法上で漏えいが問題となるのは、個人情報ではなく、個人データ(シンプルに説明すると、個人情報のデータベースを構成するデータ)となります。

①個人情報保護委員会への報告義務

②本人への通知

③損失の発生

④ブランドの毀損

⑤ビジネスモデルの転換

順番に解説していきましょう。

①個人情報保護委員会への報告義務は、2022年4月に全面施行された個人情報保護法第 26 条e-GOV法令検索 個人情報の保護に関する法律(第二十六条))に記載されました。漏えいした個人データに係る本人の数が1,000人を超える場合が報告の対象となるほか、漏えいしたデータが要配慮個人情報に当たる場合や財産的被害が生じるおそれがあるものである場合、不正の目的をもって行われたおそれがあるものである場合は、1件であっても報告する義務があること明記されました。 ここは意外と思う人も多いと思いますが、個人データが漏えいした全ての場合に、必ずしも委員会に報告する義務はないんですね。 個人情報保護委員会へ報告する際は、②本人への通知も義務化されました(e-GOV法令検索 個人情報の保護に関する法律(第二十六条))。

漏えい事件により、企業には③損失が生じます。例えば、2014年に発生したベネッセコーポレーションの個人情報流出の件に関しては、お客様へのお詫びや情報セキュリティ対策等に係る費用として約260億円を計上し、さらに、民事訴訟では2018年東京地裁で1人あたり3,300円の賠償命令が出されました(日本経済新聞:ベネッセ情報流出、1人3300円賠償命令 東京地裁判決)。

また、個人データの漏えいは企業の信頼を損なう行為であることから、④ブランドの毀損、それに伴う売上げ等の減少も引き起こします。

最後に、再発防止策として、情報の取扱いをよりリスクが低い方法に変更することとなり、それまでの⑤ビジネスモデルを転換せざるを得なくなることもあります。

ポイント:個人データが漏えいした場合に必要となる手続きや発生するリスク

  • 個人情報保護委員会への報告
  • 本人への通知
  • 損失の発生
  • ブランドの毀損
  • ビジネスモデルの転換
プライバシーテック研究所

個人情報保護法26条の規定の影響が大きいようですね!この規定により、漏えい報告は増えましたか?

プライバシーテック研究所ワタナベ先生

漏えい報告自体は、個人情報保護法26条の影響により、個人の権利利益を害する恐れが大きいものに限定されました。

この26条で規定される前は、数件でもデータが漏れたら報告しなければなりませんでした。しかし、26条の規定によって、漏洩報告の対象は、「本人の数が1,000人 を超える」場合か漏洩した情報の質により限定されることになりました。 データ漏えいは意外と発生しており、2022年だけでも、複数の官公庁が個人データの漏えい発生を公表していますね。データを扱う以上、漏えいは避けられないということです。

参考文献:『個人情報保護法改正に伴う漏えい等報告の義務化と対応について』

プライバシーテック研究所

実際に個人情報の管理が適切に行われている企業はどのくらいあるのでしょうか?

プライバシーテック研究所ワタナベ先生

規模や業種によりますが、適切に管理されている企業は限定的という印象ですね。

大企業の場合、特に上場している企業は個人情報の取り扱いに関する規定などを整備していると考えられます。しかし、しばしば漏えいに関する報道がなされるように、漏えいリスクに応じたレベルで運用されていない場合もあり、これではしっかりと個人情報を管理しているとはいえません。

一方、中小企業の場合だと、ホームページの下部に「プライバシーポリシー」はあるものの、ホームページ作成の際に、作ったままというケースも多いです。極端な場合、そもそもプライバシーポリシーの存在や内容を、企業内の個人情報担当部門が認識していないというケースもあります。

これは、個人情報保護委員会が令和4年6月に公開した「中小規模事業者の安全管理措置に関する実態調査分析結果」にも現れています。同レポートによれば、個人情報保護の担当者の有無に対して「いない」と答えた事業者は約55%という結果になっています。

当然ですが、全ての中小企業全部が、個人情報保護の取扱いに力を入れていないわけではなく、金融や医療、電気通信といった要保護性が高い個人情報を扱う企業では厳しく管理されている場合が多い印象です。

参考文献:個人情報保護委員会『中小規模事業者の安全管理措置に関する実態調査 分析結果』

プライバシーテック研究所

中小企業だと55%の企業がほぼ未着手なんですね…。なぜここまで個人データの管理が進んでいないのでしょうか?

プライバシーテック研究所ワタナベ先生

個人データの管理が進んでいない理由としては、「適切なリスク管理が難しいこと」「社内で管理する人材がいないこと」「管理が後回しにされがちであること」の3つが挙げられます。

まず適切なリスク管理が難しい背景には、事象に応じた個別具体的な判断が必要であるということですね。通則ガイドラインの講ずべき安全管理措置の内容でも定義されていますが、個人データの管理は個人情報が漏えいした際のリスクに応じて適切な安全管理措置を行わなければいけません。つまり、企業は各々でリスクを判断・評価しながら、安全管理措置を行う必要があります。 例えば、大企業の場合は多額の予算をセキュリティ対策に割いています。 しかし、通則ガイドラインどおりだとリスクが高ければ高いほど、それに対応する安全管理措置を行わなければなりません。また、個人情報保護やプライバシー保護にはサイバーセキュリティの問題がつきものです。どれだけセキュリティを強化しても、新しい脆弱性は生まれてしまうこともあり、攻撃する側の方が圧倒的に有利と言われています。 漏えい事案の場合、このレベルまでやっていたので管理として問題はなかったという議論は通常なされず、管理に問題があったとされる、いわば結果責任の傾向があるのも、管理に対する意識が上がらない要因といえるでしょう。

2つ目の、個人データの管理体制を整備できる人材がいないということについては、そもそも法務やコンプライアンスを担当する部門の人員体制に余裕がない会社も多いです。また、ガイドラインやQ&Aの解釈など専門的な内容について、相談できる弁護士が少ないといった理由から専門家への相談ハードルが高いといった問題もありますね。

最後に、管理が後回しにされがちであることも大きな要因の一つです。例えば、個人データの漏えいをはじめ、何か問題が起きた場合には専門家に依頼するなど、人的コストをかけます。 しかし、問題が発生しない限りはリスクが浮き彫りにならないため、個人情報保護の問題は後回しになりがちです。経営者の問題意識にもよりますが、個人データの管理に問題があっても、事件となるまで顕在化しづらいことも、個人データの管理が進まない原因といえるでしょう。適切な監査をすることにより、普段からチェックをしていくことが重要となります。

ポイント:管理体制が進まない理由

  • 適切なリスク管理が難しい
  • 社内で管理体制を整備する陣人に余裕がない
  • 管理が後回しにされがちである 
プライバシーテック研究所

ここからが本題なのですが、もし私が会社の個人情報管理の責任者となった場合、まず何から対応すればよいのでしょうか?

プライバシーテック研究所ワタナベ先生

個人情報を管理する場合、担当者はまず自社にどのような個人情報があるのか確認、把握していかなければなりません。社内にどのような個人情報があるのかリスト化された情報管理台帳というものを保有している場合には、内容が実体を反映しているかをまず確認していただくことになります。

具体的には、どの情報が個人情報に該当するのか、それら個人情報がどのような利用目的で取得されているのか、どの部署がどの情報を取り扱っているのか、第三者提供しているのか、提供先は海外なのかなど、社内にある個人情報の取り扱いを把握していく必要があります。

個人情報の利用目的などの把握と同時に、プライバシーポリシーの確認も行う必要があります。現状の個人情報の取扱いとと整合していない場合も多く、通則ガイドラインの安全管理措置を参考にしながら、最低限のレベルに合わせたプライバシーポリシーにしていく必要があります。 また、個人情報保護の規定とセキュリティ規定の内容が整合されていないケースも多々あります。この場合もまた、規約の内容を確認し、実体に合わせていく必要があります。

個人データの管理については、「個人情報の保護に関する法律」「個人情報の保護に関する法律についてのガイドライン(通則編)」、そして「個人情報の保護に関する法律についてのガイドライン に関するQ&A」の3つに目を通しましょう。加えて、個人データが「不正競争防止法」の営業秘密に当たる場合には、経済産業省が公表している秘密情報の保護ハンドブック(令和4年5月公表)についても確認しておくと良いと思います。

これらに目を通して分からなかったところを、顧問弁護士など専門家に相談しましょう。

ポイント

プライバシーテック研究所

具体的に社内で個人情報保護法に基づくルールを作成しようとした場合、どのような点を意識すればいいのでしょうか。

プライバシーテック研究所ワタナベ先生

個人情報保護法上の管理体制に関する規定として置かれている第23条の「安全管理措置の規定」を確認してみてください。 これは、個人情報保護委員会が公開している「個人情報の保護に関する法律についてのガイドライン(通則編)-(別添)講ずべき安全管理措置の内容」に記載されています(e-GOV法令検索 個人情報の保護に関する法律(第二十三条))。

安全管理措置は具体的に5つに分けて考えられています。 「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」。そして2020年の改正によって新たに加えられた「外的環境の把握」です。

これらの内容を踏まえて、個人情報保護法の通則ガイドラインのレベルは満たしつつ、社内で対応可能な安全管理措置を規程化していくことになります。理想的な高いレベルの内容を定めても、社内での実施が難しく、個人情報を取り扱う現場では守られないという場合もあるので、数年計画で安全管理措置のレベルを上げていくことも考えられます。

なお、安全管理措置の物理的安全管理措置と技術的安全管理措置は、セキュリティと重複することが多いんですね。この場合は、すでにあるセキュリティ管理規定に合わせていくという形が多いです。 社内にあるセキュリティの基準を参考に、セキュリティ部門と連携しつつ、個人情報の取り扱いに関する規定を作成するのが適切な形と思います。

プライバシーテック研究所

安全基準に、情報セキュリティマネジメントシステム適合性評価制度(ISMS)やプライバシーマークがあります。これらは導入した方がいいのでしょうか。

プライバシーテック研究所ワタナベ先生

ISMSプライバシーマークを取得する過程で、しっかりとした内容の規定を整備することはできます。 もっとも、規定を整備したからといって、社内で規定に従って適切に運用できていれば意味がありません。あくまでも規定に従った適切な運用を心掛けましょう。

必要に応じ、「専門家に意見を聞く」、「1年に1回以上は外部監査を実施する」、「個人情報の取り扱いに関する研修を開催する」「データ管理の責任者を設置する」などの取り組みを推進していきましょう。 取扱う情報の数が多く、情報を保護する必要性が特に高い場合には、有識者を集めた会議で意見を聞くということも考えられます。

ISMSとは

情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するもの。
https://isms.jp/isms.html

プライバシーマークとは

日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度。
https://privacymark.jp/system/about/outline_and_purpose.html

プライバシーテック研究所

最後に、会社の個人情報の責任者となった場合となった場合、取り組むべきことを教えてください。

プライバシーテック研究所ワタナベ先生

重要なことなので何度も繰り返しますが、5つのポイントを意識して取り組みましょう。

①まずは社内にある社内の個人情報をリスト化した「情報管理台帳」を確認する

②該当する個人情報とは何か、利用目的、取り扱い部署、第三者提供等を確認する

③プライバシーポリシーが現状に即しているのか確認する

④セキュリティ部門とコミュニケーションをとる

「個人情報の保護に関する法律」「個人情報の保護に関する法律についてのガイドライン(通則編)」、そして「個人情報の保護に関する法律についてのガイドライン に関するQ&A」。加えて、「秘密情報の保護ハンドブック」を確認する

プライバシーテック研究所

なるほど!まずは社内にある個人情報とその取り扱いを把握し、セキュリティ部門との密な連携を心がけます。

また分からない事があったら教えてください!

プライバシーテック研究所ワタナベ先生

いつでもお待ちしてますよ!