個人情報保護法は、直近では2020年6月5日に大きな改正が行われ、2022年4月1日より、この改正法は全面施行されています。
本稿では、個人情報保護のための社内ルールの策定について、法律の条文やガイドラインの内容を紹介しつつ、解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 個人情報保護のために企業がすべき対策

1 はじめに

個人情報保護に関して企業が対策する際には、「対外的な対策」と「社内的な対策」を考える必要があります。

対外的な対策として、多くの企業で導入されているものが「プライバシーポリシー」の策定・公表です。
プライバシーポリシーとは、簡単に言えば、自社における個人情報の取り扱いの方針(ポリシー)を定めたものです。
個人情報保護法では、プライバシーポリシーの策定は義務とはされていません。もっとも、自分の個人情報を提供する側(顧客等)にとって、自分の個人情報がどのように取り扱われるのかを知ることができますので、ひとつの安心材料となります。
そのため、自主的にプライバシーポリシーを定め、自社のホームページ上で公表している企業が多くあります。

一方、社内における対策としては、「社内ルール」の策定・実施があります。
個人情報を取り扱う企業のほぼすべては、個人情報保護法の対象となり、この法律を遵守する必要があります。
もっとも、企業の代表者や役員、管理職等だけが個人情報保護の意識を強く持っていても、従業員にその意識が低ければ、個人情報の不適切な取り扱いが発生する可能性があります。そして、たとえ従業員が個人的にやったことであっても、最終的には企業としての責任が問われることになりかねません。

本稿では、後者の社内ルールの策定について解説していきます。

2 社内ルールに関する個人情報保護法上の規定

個人情報保護法には、個人情報の安全管理措置に関し、次のような条文が規定されています。

個人情報保護法第23条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

なお、従業員の監督については、次のような規定があります。

個人情報保護法第24条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

第3 社内ルールの具体的な内容

個人情報保護委員会が公表しているガイドラインには、「講ずべき安全管理措置の内容」として、企業が具体的に講じなければならない措置や、その措置を実践するための手法の例などが示されています。
そこで、ガイドラインで示されている内容について見ていきます。

※ なお、「中小規模事業者」についても、個人情報保護法第23条に定める安全管理措置を講じなければなりません。
もっとも、取り扱う個人データの量や、個人データを取り扱う従業者数は一定程度にとどまります。
そのため、義務の履行が円滑にできるようにという観点から、少し簡素化した手法が示されています。

※ 「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者です。
ただし、
・事業の用に供する個人情報データベース等を構成する個人情報の数の合計が過去6か月以内のいずれかの日において「5000」を超える事業者や、
・委託を受けて個人データを取り扱う事業者
については、「中小規模事業者」には当てはまりません。

1 基本方針の策定

個人情報保護法の遵守に組織的に取り組む前提として、基本方針を定めることが重要です。
定める事項としては、例えば、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等があります。

2 個人データの取り扱いに係る規律の整備

個人データの取得、利用、保存、提供、削除・廃棄等のそれぞれの段階ごとに、取扱方法や責任者等について、個人データの取扱規程を策定することが考えられます。
なお、具体的に定める事項については、このあとに記述する措置の内容を盛り込むことが重要です。

※ 「中小規模事業者」では、個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する必要があります。

3 組織的安全管理措置

組織的安全管理措置として講ずべきとされているのは、以下の5点です。
(1)組織体制の整備
(2)個人データの取扱いに係る規律に従った運用
(3)個人データの取扱状況を確認する手段の整備
(4)漏えい等事案に対応する体制の整備
(5)取扱状況の把握及び安全管理措置の見直し

(1)組織体制の整備

例えば、個人情報の取扱いに関する責任者を設けることや、どの従業員がどの範囲の個人情報を取り扱うのか、法律違反や漏えいが発生した、あるいはその予兆があるときに、どこに報告するのか等の組織体制を整備するという方法があります。

※ 「中小規模事業者」でも、個人データを扱う者が複数いる場合に、責任者とそれ以外のものを区別するという方法があります。。

(2)個人データの取扱いに係る規律に従った運用

規律に従った運用がなされるようにするため、例えば、個人情報データベースへのアクセス状況や個人データが載っている書類の持ち出し状況、削除や廃棄の状況、情報システムへのログイン実績やアクセスログなどといった項目に関して、システムログ等の記録の整備や業務日誌の作成等を通じて、個人データの取扱いの検証を可能にするという方法があります。

※ 「中小規模事業者」では、整備されたルールに則って個人データが扱われているか、責任者が確認することが考えられます。

(3)個人データの取扱状況を確認する手段の整備

例えば、個人情報データベース等の種類や名称、個人データの項目、個人データの取り扱いの責任者や取り扱い部署、利用目的、アクセス権限を有する者等をあらかじめ明確化しておくことにより、個人データの取扱状況を把握できる状態にしておくという方法があります。

※ 「中小規模事業者」については、上記(2)と同様の考え方です。

(4)漏えい等事案に対応する体制の整備

もし漏えい等事案が発生してしまった場合、どのようにして事実関係や原因を調査し、再発防止策を検討するか、公表をどのように行うか、影響を受ける可能性のある本人や個人情報保護委員会への通知・報告は誰がどのように行うか等の体制を構築しておくことが考えられます。

※ 「中小規模事業者」については、漏えい等事案が発生したときの責任者への連絡体制を決めておくということが考えられます。

(5)取扱状況の把握及び安全管理措置の見直し

個人データの取扱状況について、定期的に自ら行う点検又は他部署等による監査(場合によっては外部の監査)を実施することが考えられます。

※ 「中小規模事業者」については、責任者が、個人データの取扱状況を定期的に点検することが考えられます。

4 人的安全管理措置

個人情報保護法の24条に記載されていた、従業員の監督に関する項目です。
個人データの取扱いに関して従業員に定期的な研修等を行って教育する、個人データについての秘密保持に関する事項を就業規則に盛り込むといった手法があります。

※ 「中小規模事業者」についても、上記の研修や就業規則への規定といった手法を取ることは同じです。

5 物理的安全管理措置

物理的安全管理措置として講ずべきとされているのは、以下の4点です。
(1)個人データを取り扱う区域の管理
(2)機器及び電子媒体等の盗難等の防止
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
(4)個人データの削除及び機器、電子媒体等の廃棄

(1)個人データを取り扱う区域の管理

ガイドラインでは、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域を「管理区域」としています。
一方、その他の個人データを取り扱う事務を実施する区域を「取扱区域」としています。
そして、それぞれの区域について、適切な管理を行わなければならないとされています。

例えば、管理区域については、ICカード等により入退室を管理する、持ち込み機器を制限するといった方法があります。
また、取扱区域については、仕切りを設けたり、人が集まる場所から離れた所に設置するなどして、他の者が容易に閲覧できないようにするという方法があります。

※ 「中小規模事業者」については、個人データを取り扱うことができる者以外が容易に閲覧できないような対策を講じておくことが考えられます。

(2)機器及び電子媒体等の盗難等の防止

個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければなりません。
例えば、これらの機器等についてはキャビネットや書庫に入れて施錠して管理する、セキュリティワイヤーにより固定してしまうといった手法が考えられます。

※ 上記の対策については、「中小規模事業者」についても同様に取らなければなりません。

(3)電子媒体等を持ち運ぶ場合の漏えい等の防止

個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じる必要があります。
例えば、個人データの暗号化、パスワードの設定、封緘、目隠しシールの貼付け、施錠できる容器による運搬などの方法があります。
なお、事業所の外に持ち出す場合はもちろんのこと、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要があります。

※ 「中小規模事業者」については、パスワードの設定や、封筒に封入してカバンに入れて運搬するといった方法が考えられます。

(4)個人データの削除及び機器、電子媒体等の廃棄

個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならなりません。
なお、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、適宜の方法(証明書など)により確認することも重要であるとされています。

例えば、書類の形式であれば、焼却や溶解、十分なシュレッダー処理等により、復元不可能にすることが考えられます。
また、パソコンなどの電子機器であれば、容易にデータを復元できないやり方を選択することや、専用のデータ削除用のソフトウェアの使用、物理的な破壊措置が考えられます。

※ 「中小規模事業者」については、責任者が、データの削除や電子機器の廃棄等を確認するといった方法が考えられます。

6 技術的安全管理措置

技術的安全管理措置として講ずべきとされているのは以下の4点です。
(1)アクセス制御
(2)アクセス者の識別と認証
(3)外部からの不正アクセス等の防止
(4)情報システムの使用に伴う漏えい等の防止

(1)アクセス制御

担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う必要があります。
個人情報データベース等を扱うことができる情報システムを限定した上で、使用できる従業員もアクセス権限により制限することが考えられます。

※ 「中小規模事業者」については、個人データを取り扱うことのできる機器や、取り扱う従業者を明確にしておく方法が考えられます。

(2)アクセス者の識別と認証

個人データを取り扱う情報システムを使用する従業者が、正当なアクセス権を有する者であることを認証する必要があります。
方法としては、ユーザーIDやパスワード、磁気・ICカードなどがあります。

※ 「中小規模事業者」については、電子機器に標準装備されているユーザー制御機能により、取り扱う従業員を識別・認証する方法があります。

(3)外部からの不正アクセス等の防止

個人データを取り扱う情報システムを、外部からの不正なアクセス等から保護する仕組みを導入し、適切に運用する必要があります。
例えば、外部ネットワークとの接続箇所にファイアウォール等を設置する、セキュリティ対策ソフトウェア等を導入する、機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする、ログ等の定期的な分析により不正アクセス等を検知するといった方法があります。

※ 「中小規模事業者」については、機器のオペレーティングシステムを最新にしておくことや、セキュリティ対策ソフトウェアを導入することが考えられます。

(4)情報システムの使用に伴う漏えい等の防止

情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用する必要があります。
情報システムの設計時に安全性の確保・その後の継続的な見直し、個人データを含む通信経路・内容の暗号化、個人データのパスワード等による保護といったことが考えられます。

※ 「中小規模事業者」については、個人データを含むファイルをメール等で送信する際に、パスワードを設定することが考えられます。

7 その他

上記のほかに、外国において個人データを取り扱う場合にも、適宜の措置を講じる必要があります。

第4 最後に

個人情報を適切に扱うために、社内のルールを作成・実施することは、近年ますます重要になっています。
個人情報の漏えい等が発生すると、マスコミに大きく報道されることもあります。
そのような事態になれば、「個人情報をきちんと扱わない(扱えない)会社」という印象がついてしまい、企業にとって致命的なダメージとなる可能性すらあります。
社内ルールの作成の際に、不安な点やわからない部分がある場合には、弁護士と相談しながら内容を検討・修正するとよいでしょう。

グリーンリーフ法律事務所は、設立以来30年以上の実績があり、18名の弁護士が所属する、埼玉県でトップクラスの法律事務所です。
企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
※ 本コラムの内容に関するご相談・ご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネットの各会員様のみ受け付けております。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら