| 1. 個人情報って何?うちの会社も関係あるの? |
平成17年4月1日から、個人情報保護法が業種や事業の規模を問わず完全実施されました。
さて、自社は個人情報取り扱い業者に該当するか?まずチェックしてみましょう。
該当する場合には、必ず業務・社内対策を。該当しない場合でも、信用失墜・実損害・損害賠償の危険性はあります。やはり、最低限の業務・社内対策は必要です。
|
| 2.個人情報とは |
| 【個人情報】 |
生存する特定の個人を識別できる情報です。
@個人(自然人)に関する情報
A生存している個人の情報
B特定の個人を識別できる情報 |
| ※ |
プライバシー情報(私生活に関する情報であり、まだ一般には知られていない事柄で、一般人なら公開してほしくない情報)は、個人情報の一部です。例えば、電話帳に掲載 されている電話番号や、名刺に記載された氏名・住所・役職といった公開情報も個人情報になります。 |
| ※ |
従業員に関する情報(その家族の生年月日なども)個人情報です。 |
| ※ |
紙にプリントされた情報も含まれます。 |
|
| 【個人情報の3分類】 |
| 個人情報: |
上記のとおり |
| 個人データ: |
検索性を備えた個人情報の集合 |
| 保有個人データ: |
事業者が当該データの内容を開示したり、訂正したり、利用を停止するなどの権限を持っているもの |
|
|
| 3.個人情報取り扱い業者とは |
| 【個人情報取扱業者】 |
個人、企業、団体などで次の@A両方に当てはまる場合には、個人情報取扱業者です。
| @ |
過去6ヶ月以内に、一度でも5000件を超える「個人データ」を持っていた事がある。 |
| ※ |
件数は人数でカウントします。 |
| ※ |
データベースの全部または一部が他人作成によるもので、氏名・住所・電話番号しか含まれておらず、個人情報を追加してデータベースを変更していないもの
(電話会社からもらった電話帳、市販の住宅地図など)は含まれません。
|
| A |
@の個人データを事業に利用している。 |
| ※ |
事業とは、「反復継続して行なう社会活動」をいい、営利事業に限りません。 |
|
|
|
| 4.これだけはやっておきたい!会社の個人情報保護対策 |
| 【個人情報取扱業者に対する規制の内容の概略】 |
| (1) |
個人情報の入手時に利用目的を特定し、明示する事。
| ・ |
個人情報取扱業者は、取扱う個人情報をどのような目的で利用するのかできる限り特定しなければなりません。 |
| ・ |
利用目的は具体的に、はっきり本人に分かるように。 |
|
| (例) |
事業活動に用いるため |
→× |
|
提供するサービスの向上のた |
→× |
|
マーケティング活動に用いるため |
→× |
|
商品の発送に用いるため |
→○ |
|
アフターサービスに用いるため |
→○ |
|
新商品、サービスに関する情報提供のため |
→○ |
|
| ・ |
契約書、申込書の1ページ目に個人情報の利用目的条項を入れておくこと |
| ・ |
ウェブページに利用目的を明記すること |
| ・ |
本人に明示したという証拠(確認の署名)を必ず取り、保管すること |
| ・ |
予め利用目的を公表していないと、個人情報を取得した場合に速やかに利用目的を本人に通知しまたは公表しなければなりません。 |
|
| (2) |
個人情報取扱業者は、本人の同意を得ないで個人情報を当初の目的の範囲を超えては利用してはいけません。
|
| (3) |
個人情報取扱業者は、個人情報の漏洩、紛失、毀損を防止策(セキュリティー対策)を講じなければなりません。
|
|
|
以下は、経済産業省のガイドラインで
「講じなければならない」とされているものです。 |
|
| 【組織的安全管理措置】 |
@個人データの安全管理措置を講じるための組織的体制の整備
| 個人情報管理責任者(社長) |
→ |
※必ず必要です。 |
| 実務責任者(法的知識、IT知識) |
← |
ここまでは、最低限決めておきましょう。 |
| 総務部 |
→役割:施設管理と業務委託契約書の見直し |
| 人事部 |
→役割:社員情報の取扱見直し、就業規則改訂 |
| 営業部 |
→役割:顧客情報の管理 |
| システム管理 |
→役割:個人情報の安全性確保の対策 |
A個人データの安全管理措置を定める規定等の整備と運用
B個人データの取扱状況を一覧できる手段の整備
C安全管理措置の評価、見直し、改善
D事故や違反への対処(事前にマニュアルの作成) |
|
| 【人的安全管理措置】 |
個人情報取扱業者には、個人情報を取扱う「従業者」を監督する義務があります。
従業者=個人情報取扱業者の組織内で事業者の指揮監督を受けて業務に従事している人
会社と雇用関係にあるもの(契約社員、嘱託社員、アルバイト、パートも含む)は勿論、役員、派遣社員も含まれます。
| @ |
個人情報を外部に持ち出さないという契約を従業者と結ぶこと
機密保持に関する契約書・誓約書を取り交わす。派遣社員とも派遣会社を通じて契約書・誓約書をとること。 |
| A |
従業者の教育・訓練
社内講師、社外講師による定期的講習、部署別研修 |
| B |
委託先からの情報漏えいを防ぐ
外部業者への業務委託は第3者への提供には当たらず、本人同意は不要
しかし、元の事業者には、委託先を監督する義務があります。
業務委託先からの漏洩が多い!
(03.6 ローソン会員情報漏出事件、04.4コスモ石油会社情報漏出事件)
| 対策 |
| @. |
安全管理体制のしっかりした業者を選ぶ |
| A. |
業務委託契約書に個人データの安全管理に関する事項を盛り込む |
| B. |
委託後、契約が守られているかチェックする |
| C. |
再委託を認める場合には、「事前に同意を得させる」「再委託先の監督義務を負わせる」「文書での報告をさせる」 |
|
|
|
|
| 【物理的安全管理措置】 |
| @ |
個人データが保管されているオフィスへの入退室管理
名札、カード、バッジ、入退室の記録、パスワード、IT認証など |
| A |
持ち出しの制限、私用パソコンの持ち込み制限 |
| B |
キャビネットの鍵管理 |
| C |
盗難予防措置
不正アクセス等によりノートパソコンの盗難(車上狙いも)などによるデータ漏洩が多い! |
| D |
機器・装置の物理的な保護 |
|
|
| 【技術的安全管理措置】 |
| @ |
個人データにアクセス制御(誰でもアクセスできるようではダメ) |
| A |
個人データにアクセスしたものがアクセス権限を有する者だと識別、認証できるようにすること |
| B |
アクセス権限の管理 |
| C |
個人データへのアクセス記録 |
| D |
不正侵入(不正ソフトウェア)への対策 |
| E |
個人データの移送・送信時の対策 |
| F |
情報システムの動作確認時の対策 |
| G |
情報システムの監視 |
| ※ |
不正競争防止法の「営業秘密」として保護されるためにも「情報の管理体制」が不可欠です。 |
|
|
|
| 5.個人情報流出による損害 |
| (1)信用の失墜による損害 |
個人情報が外部に流出したときは、二次被害を防ぐために速やかに通知をしなければなりません⇒通知後は顧客や取引先からの信用失墜や顧客離れによる業績低下、取引先との取引条件の悪化も考えられます。
|
| (2)事件発生による実損害 |
原因を調べるための調査費、システム修復や今後の予防のための対策費、業務停止による実損害が発生します。
|
| (3)法的制裁による損害 |
| 『刑事上の制裁』 |
|
主務官庁の命令に従わなかった時、6ヶ月以下の懲役または30万円以下の罰金。
|
| 『民事損害賠償請求』 |
|
一時的損害の賠償請求
1件あたりの損害金額は少なくても、件数が多いと莫大な損害になります。
また、病歴、思想信条、資産状態などのセンシティブ情報の場合、損害賠償金はさらに高額になります。
二次的損害の賠償請求(流出した個人情報による詐欺事件など) |
|
|