トップページ  >  連載  >  個人情報保護法4

個人情報保護法

令和4年1月11日

4.個人情報保護法について④

前回に続いて、個人情報取扱事業者にどんな義務が課されているのかを見ていきます。今回は、個人情報の管理の場面です。

 

(2)管理の場面

① 正確性の確保と消去

個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは遅滞なく消去するよう努める必要があります。

利用する必要がなくなったときとは、例えば、キャンペーンの懸賞品送付のため応募者の個人データを保有していたが、懸賞品の発送が終わり、不着の対応等に必要な合理的期間が経過した場合や、キャンペーン自体が中止になった場合が考えられます。

 

② 安全管理措置

個人データの安全管理のために必要かつ適切な措置を講じる必要があります。具体的には、ⅰ)基本方針の策定、ⅱ)個人データの取扱いに係る規律の整備、ⅲ)組織的安全管理措置、ⅳ)人的安全管理措置、ⅴ)物理的安全管理措置、ⅵ)技術的安全管理措置を講じる必要があるとされています。但し、従業員数が100人以下の中小規模事業者の場合には安全管理措置が緩和されています。

以下、それぞれについて、安全管理措置が緩和された中小規模事業者でも最低限講じておくべき内容を中心にお話しします

 

ⅰ)基本方針とは、個人データの適正な取扱いの確保について組織として取り組むための基本的な方針です。基本方針を策定することで従業員等への周知・研修を行いやすくなるというメリットがあります。基本方針に定める事項としては、以下の項目が挙げられます。

事業者の名称

関係法令・ガイドライン等の遵守

安全管理措置に関する事項

質問及び苦情処理の窓口 など

 

ⅱ)個人データの取扱いに係る規律の整備とは、例えば、個人情報の取扱いに関する内部規程やマニュアル等の整備が挙げられます。具体的な取扱い規程ですので、個人情報を取り扱う事務の流れを整理し、取得・利用・保存・第三者提供等の各段階に応じて、後で述べる組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置をそれぞれ織り込んで作成することが重要です。その際、適用対象者や目的、罰則を明確にする、曖昧な表現はなるべく避ける、実際の運用を意識して作成する、などの視点を忘れないようにしましょう。

   

ⅲ)組織的安全管理措置とは、例えば、安全管理者の設置、安全確保のための組織の整備、システムの安全性監査の実施等が挙げられます。特に、組織体制の整備として、事務取扱担当者とその役割を明確化することが重要です。事務取扱担当者が複数いる場合は、責任者と事務取扱担当者を区分することが望ましいです。また、情報漏洩等の事案の発生に備え、従業員から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておくことも重要です。

   

ⅳ)人的安全管理措置とは、例えば、従業員の個人情報保護意識の向上、安全管理のための研修の実施等が挙げられます。従業員に対する教育と、後記③で述べる監督が重要です。

   

ⅴ)物理的安全管理措置とは、例えば、重要な個人データを取り扱う区域の入退室管理や、個人データを含む書類等の施錠保管等が挙げられます。少なくとも個人情報が記載された電子媒体や書類を持ち出す場合には、パスワードの設定や、封筒に封入して鞄に入れて搬送するなど、紛失・盗難等を防ぐための安全な方策を講じることが必要です。

   

ⅵ)技術的安全管理措置とは、例えば、外部とネットワークで接続されているコンピュータへのファイアウォールの構築、外部とやりとりされる情報の暗号化、個人データを取り扱うデータベース等へのアクセス制限の設定等が挙げられます。

 

③ 従業者の監督

従業者に個人データを取り扱わせるにあたっては、従業者に対する必要かつ適切な監督を行う必要があります。

従業者とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係の有無は問いません。派遣労働者が派遣先の個人情報取扱事業者の指揮命令を受けて働く場合も該当します。また、例えば、町内会やマンション管理組合の運営を担う理事等も「従業者」に該当するものと考えられています。

必要かつ適切な監督の具体的内容は、個人情報の性質や、利用目的、個人の権利利益の侵害の重大性や蓋然性、事業主の負担等に応じて、事案ごとに総合的に判断されます。例えば、秘密保持に関する事項を就業規則等の社内規程に盛り込んだり、業務内容を相互にチェックする体制を作ること、事務取扱担当者に対して定期的に監督を行うことなどが考えられます。

従業者が個人データベース等を不正に持ち出し、第三者に提供して利益を得る行為は個人情報保護法違反(個人情報データベース等不正提供罪)として処罰の対象です。また、顧客データ等が社内規程等に違反して持ち出され、プライバシーをはじめとする個人の権利利益が侵害された場合、民法上の損害賠償請求の対象になり得るところ、会社において従業者に対する監督が尽くされていないと判断された場合には、当該会社に対して使用者責任(民法715条)が問われる可能性もあります。このようなことから従業員に対する教育や監督は特に重要になってきます。なお、従業員に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視(モニタリング)を検討する場合には、いろいろと留意すべき点があります。詳細は以前の連載(こちら)をご参照ください。

 

④ 委託先の監督

個人データの取扱いを一部でも委託する場合は、委託先が個人データの安全管理を図られるよう、委託先に対する必要かつ適切な監督を行う必要があります。

必要かつ適切な監督とは、例えば、委託業務に際して知り得た秘密の保護、委託先事業者内からの個人データの持ち出し禁止、委託事務終了後のデータの返却・消去、再委託先の制限等、委託先において行うべきことを契約内容に盛り込むとともに、当該契約の内容が確実に遵守されているかを委託元において確認すること等が考えられます。委託先から委託元への誓約書の差し入れや覚書等の取り交わしでも構いません。

また、再委託が行われる場合に、委託元が再委託先を直接監督することまでは求めていませんが、例えば、その実態を直接の委託先から把握しておくとともに、当該委託先において適切な再委託先が選定されているか、委託先が再委託先に対して十分な監督を行っているか等について把握し、適切に指導しておく必要があります。

 

次回は、個人情報を第三者に提供する場面についてお話しします。

top