個人データを取り扱う企業は、個人情報保護法に基づく安全管理措置を講じなければなりません。想定される流出パターンを念頭に、会社の実情に合わせた個人データの流出対策を行いましょう。
本記事では、個人情報保護ガイドラインの内容を踏まえて、企業が講ずべき個人データの安全管理措置の在り方をケーススタディ形式で解説します。
企業が講ずべき個人データの流出対策|個人情報保護ガイドラインが示す7つのポイント
個人情報保護ガイドライン*1では、個人情報取扱事業者が講ずべき個人データの安全管理措置について、以下の7つのポイントを挙げています。
(1) | 基本方針の策定 |
| 個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが求められます。 |
(2) | 個人データの取扱いに係る規律の整備 |
| 個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備することが求められます。 |
(3) | 組織的安全管理措置 |
| 個人データの取扱いや、漏えい事案への対応に関する組織体制の整備などが求められます。 |
(4) | 人的安全管理措置 |
| 個人データを取り扱う従業員に対する教育・監督が求められます。 |
(5) | 物理的安全管理措置 |
| 個人データを取り扱う区域の管理や、個人データが記録された機器・電子媒体・書類等の紛失防止などが求められます。 |
(6) | 技術的安全管理措置 |
| 情報システムを使用して個人データを取り扱う場合に、アクセス制御や不正アクセス・漏洩等を防止するための措置が求められます。 |
(7) | 外的環境の把握 |
| 外国において個人データを取り扱う場合は、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じることが求められます。 |
上記のうち、実務的な観点から重要性が高い以下の5点について、具体的に講ずべき安全管理措置を設例に即して解説します。
(2)個人データの取扱いに係る規律の整備
(3)組織的安全管理措置
(4)人的安全管理措置
(5)物理的安全管理措置
(6)技術的安全管理措置
個人データの安全管理措置に関するケーススタディ
<設例>
A社の従業員であるXは、業務時間の合間に社内の共有フォルダを物色していたところ、著名人の個人情報が多数記録された他部署の顧客リストを発見した。顧客リストには、パスワードが付されていなかった。
Xはその顧客リストをメールで自分のPCへ転送し、カフェの一角でPCを開いて興味深く閲覧していた。ところが、Xの後ろを通りかかったYによって、顧客リストが移った画面を撮影されてしまった。撮影された画像は、YのSNSアカウントを通じて不特定多数の人に拡散された。
投稿された画像から読み取れる情報を手掛かりとして、インターネットユーザーにより、顧客リストはA社のものであると特定された。その結果、A社にはおびただしい数のクレームが殺到した。
A社においては、個人データの取扱いに関する規程や、個人データの流出時の対応体制が整備されていなかったため、顧客リストの流出に関する対応が大幅に遅れた。その結果、顧客からの信頼を失い、A社の業績は大幅に低下してしまった。
個人データの取扱いに係る規律の整備
設例において、A社は個人データの取扱いに関する規程を整備していませんでした。その結果として、Xによる顧客リストの流出を許してしまっています。
個人データの取扱規程を整備することは、個人データの漏えい等を防止する観点から非常に重要です。
具体的には、個人データの取得・利用・保存等を行う場合の基本的な取扱方法を、社内規程において明示することが求められます。
実際に規定する事項については、後述する組織的安全管理措置・人的安全管理措置・物理的安全管理措置・技術的安全管理措置の内容を織り込まなければなりません。
設例のような流出事案を防止するためには、少なくとも顧客リストの社外持ち出しを禁止するルールを整備しておくべきでした。
さらに、個人データの取扱いに関する従業員教育の実施や、顧客リストへのアクセス権の設定ルールなどについても、社内規程を定めて明示すべきでした。
組織的安全管理措置
設例において、A社は個人データの流出時の対応体制を整備していなかったため、顧客リストの流出への対応が遅れ、顧客の信頼を失ってしまいました。
企業においては、個人データの漏えい等事案の発生、またはその兆候を把握した場合に、適切かつ迅速に対応するための体制を整備しなければなりません。
具体的には、漏えい等が発生した場合の連絡フロー、対応を検討する担当者、検討の事項・手順などを決めておく必要があります。
そうすれば、万が一個人データの漏えい等が発生しても、あらかじめ定められた手順に従って、比較的迅速に対応できるでしょう。
なお、個人データの漏えい等が発生した場合には、二次被害の防止や類似事案の発生防止等の観点から、事実関係や再発防止策などを早急に公表することが重要です。これらの公表に関する手続きについても、組織的安全管理措置の一環として定めておきましょう。
人的安全管理措置
設例において、XはA社の顧客リストを持ち出した上で、公共の場で閲覧するというずさんな取扱いを行っています。これは、A社の従業員教育が不十分であった結果として、Xの個人データの取扱いに関する警戒意識が希薄だったことが原因と思われます。
企業は従業員に対して、個人データの適正な取扱いを周知徹底するとともに、適切な教育を行わなければなりません。
具体的には、定期的に従業員研修を行うことや、個人データの秘密保持に関する事項を就業規則等に定めることなどが求められます。
物理的安全管理措置・技術的安全管理措置
設例において、XはA社の顧客リストへ容易にアクセスし、そのデータを自分のPCへ転送した上で社外に持ち出しています。
A社としては、業務上閲覧の必要性がないXが、顧客リストへアクセスできる状態にすべきではありませんでした。
たとえば、顧客リストにパスワードを設定した上で、保存先フォルダにもアクセス権を設定しておけば、Xが顧客リストを閲覧することはなかったでしょう。
また、顧客リストをXのPCにメール転送することも、個人データの漏えい等防止の観点からはきわめて不適切です。
このようなメール転送が行われないようにシステム設定を行った上で、個人データが記録された機器については、セキュリティワイヤーで固定するなどの措置を講じることが望ましいでしょう。
まとめ
個人データの漏えい等が発生すると、企業は取引先や顧客からの信頼を一挙に失ってしまいます。
個人データの漏えい等を防ぐには、適切な安全管理措置を講じることが欠かせません。個人情報保護ガイドラインで示された7つのポイントを参考にして、効果的に個人データの漏えい等を防止できる対策を講じましょう。
様々なセキュリティソリューション
*1参考)個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p166以下
https://www.ppc.go.jp/files/pdf/230401_guidelines01.pdf