昨年,大手の教育・出版会社から,顧客情報が大規模に流出した事件については,皆さんのご記憶にも新しいところだと思います。これらの個人情報流出事件を受けて,経済産業省は,「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下「個人情報保護ガイドライン」といいます。)を改正しました。そこで,今回は,個人情報保護ガイドラインの改正について説明したいと思います。
今回のポイント
1.個人情報保護ガイドラインとは
2.改正の要点
1.個人情報保護ガイドラインとは
個人情報の適正な取扱いのため,個人情報取扱事業者の義務等について定める法律が,「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)です。しかし,個人情報保護法の条文には,事業者として,具体的にどのような対応をとるべきかということまでは記載してありません。そこで,個人情報保護法を補うべく,事業者としてとるべき対応等を具体的,詳細に解説しているのが,個人情報保護ガイドラインです。 個人情報保護ガイドラインには,「しなければならない」と記載されている事項と,「望ましい」と記載されている事項があります。「しなければならない」事項については,これに従わないと,個人情報保護法違反とされ,主務大臣による勧告,命令等の対象となる可能性があります。一方,「望ましい」事項については,これに従わなくても,直ちに個人情報保護法違反とされることはありません。しかし,その結果,個人情報が流出したような場合には,個人情報保護ガイドラインを遵守しなかった点について事業者に過失があるとして,損害賠償責任を負うことがあり得ます。 なお,個人情報取扱事業者とは,大まかにいうと,5000人以上の個人情報を保有する事業者のことで,名簿業者等に限られるものではありません。
2.改正の要点
主な改正点は,@第三者からの適正な取得の徹底,A社内の安全管理措置の強化,B委託先等の監督の強化,C共同利用制度の趣旨の明確化,D消費者等本人に対する分かりやすい説明のための参考事項の追記です。
@第三者からの適正な取得の徹底
第三者から個人情報を取得する場合には,適法に入手されていること等を確認すること,確認できない場合は,取引を自粛することを含め,慎重に対応することが望ましいと追記されました。冒頭の事例では,流出した個人情報を入手,利用した企業に対しても批判が寄せられたところです。
A社内の安全管理措置の強化
個人情報保護法は,個人情報取扱事業者は,個人データの安全管理のために必要かつ適切な措置を講じなければならないと定めています(法第20条)。今回のガイドラインの改正では,個人情報取扱事業者が講じるべき安全管理措置として,外部からのサイバー攻撃対策が追加されました。また,内部不正対策として講じるべき組織的,物理的,技術的安全管理措置の項目が追加されました。内部不正対策には,このほかに人的安全管理措置があり,個人情報保護ガイドラインには,各項目について,講じなければならない事項が記載され,講じることが望まれる手法が具体的に例示されています。詳細は次の表を参照してください。
| 種 別 | 定 義 | 手法の例 |
| 組織的安全管理措置 | 安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認すること | ・個人データ取扱いにおける作業責任者の設置、作業担当者の限定 ・規程等の整備とそれらに従った運用 ・個人データ取扱い台帳の整備 |
| 人的安全管理措置 | 従業者に対する、業務上秘密と指定されたデータの非開示契約の締結や教育・訓練等を行うこと | ・採用時における非開示契約の締結 ・非開示契約に違反した場合の措置に関する規程の整備 ・教育・訓練の実施 |
| 物理的安全管理措置 | 入退館(室)の管理、個人データの盗難の防止等の措置 | ・入退館(室)の記録 ・個人データを記した書類等の机上及び車内等への放置の禁止 ・個人データを含む媒体の施錠保管 |
| 技術的安全管理措置 | 個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等 | ・ファイアウォール、ルータ、サーバー等の設定 ・ウィルス対策ソフトウェアの導入 ・識別と認証の実施 ・アクセス権限を付与すべき者の最小化 |
B委託先等の監督の強化
個人情報保護法は,個人情報取扱事業者は,個人データの取扱いを委託する場合は,委託を受けた者に対する必要かつ適切な監督を行わなければならないと定めています(法第22条)。今回のガイドラインの改正では,委託先の安全管理措置の確認,定期的な監査等を行うことが望ましいと追記され,また,再委託先以降について,同様の措置を行うことが望ましい旨が追記されました。 冒頭の事例では,個人情報を流出させたのは,委託先の派遣社員であったとされています。
C共同利用制度の趣旨の明確化
個人情報保護法は,個人情報をグループ企業等で共同して利用することができる場合について定めています(法第23条第4項第3号)。今回のガイドラインの改正では,共同利用者の範囲の明確化,共同利用者の責任等の追記が行われました。
D消費者等本人に対する分かりやすい説明のための参考事項の追記
消費者等に個人情報保護に関する考え方や方針等を説明する際の表現等について, 参考とすべき基準が追記されました。
冒頭の事例に限った話ではありませんが,個人情報の流出は,顧客への対応や再発防止等のために多額の費用がかかるなど,企業に多大な影響を及ぼします。転ばぬ先の杖,予防が大切です。皆さんも,今回の改正を契機に,顧問弁護士に相談するなど,自社の安全管理体制を見直してみることをお勧めします。なお,個人情報保護ガイドラインは,経済産業省のホームページからダウンロードすることができます。
