ネット利用の普及により、顧客の情報をビジネスに生かして利益拡大を図る企業も多くなりました。しかし個人情報の取扱いは「安全管理措置」に沿って実施していなければ、大きなリスクにもなります。安全管理措置と改定個人情報保護法について解説します。
最終更新日: 2022年12月06日
安全管理措置とは?
安全管理措置とは「個人情報保護法で決められた、データを安全に管理するための措置や指標のこと」です。安全管理措置の概要と、個人情報保護法の改正による影響をみていきましょう。
個人情報保護法で定められた義務
個人情報保護法では個人情報を集めたもの(個人データ)を取扱う事業者に、データの取扱いを適切に管理するよう義務付けています。
安全管理措置では個人データを、以下の三つの危機から守ることを目的のひとつにしています。
- 漏えい(第三者に個人データが渡る)
- 滅失(情報が全てなくなる)
- き損(データが破壊される)
安全管理措置の実施は、個人データをビジネスに利用しているほぼすべての事業者に求められます。法人や個人、営利目的かは関係しません。
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
個人情報保護法が改定
個人情報保護法は3年ごとに見直されます。個人情報の取扱いへの意識の高まりと、情勢の急速な変化に対応した個人情報の保護が必要なためです。
2022年4月1日に施行された改定個人情報保護法では、主に次の六つのポイントで見直しが行われています。
- 個人の権利保護の強化
- 事業者への債務の強化
- 事業者による自主的な取り組みを促す制度の新設
- 個人データの利活用の促進
- ペナルティの強化
- 海外の事業者に対する規定の追加
この改定によって個人データを扱う多くの事業者は、安全管理措置の見直しが必要となるでしょう。
安全管理措置は四つに分類される
情報の漏えいや、き損などを防ぐための安全管理措置は「組織的・人的・物理的・技術的」の四つに分類されています。個人データを扱う事業者はそれぞれの内容を理解し、情報を安全に管理する体制を構築しなければなりません。
組織的安全管理措置
組織的安全管理措置では、個人データを取扱う事業者が従業員に果たすべき義務として、先述した「個人情報の保護に関する法律についてのガイドライン」の中で以下の五つを挙げています。
- 組織体制の整備
- 個人データの取扱いに係る規律に従った運用
- 個人データの取扱状況を確認する手段の整備
- 漏えいなどの事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
事業者は従業員が個人データを適切に管理できるよう、安全管理措置のルールやマニュアルを策定・整備しなければなりません。責任者とデータの漏えいが起きた場合の対応手順を決め、その方法を従業員にも共有するのです。
また事業者は、個人データがルール通りに扱われているかを定期的に確認しなければなりません。
人的安全管理措置
人的安全管理措置では、事業者は従業員に対し「個人データの適正な取扱いの周知」と「適切な教育」を行うことが求められています。
就業規則や社内ルールなどに、個人データの秘密保持に関する事項や故意に違反した場合の罰則などを盛り込みます。また個人データを扱う従業員には、定期的な研修を行わなければなりません。
事業者には、個人情報の秘密保持の重要性を従業者に説明し、監督する義務があるのです。
物理的安全管理措置
物理的安全管理措置では、個人データがまとめられた書類や電子データの安全な管理のために、以下の四つの対策を義務付けています。
- 個人データを取扱う区域の管理
- 機器及び電子媒体等の盗難等の防止
- 電子媒体等を持ち運ぶ場合の漏えい等の防止
- 個人データの削除及び機器、電子媒体等の廃棄
個人データを取扱う担当者以外の者がデータの閲覧・コピーなどができないように、管理するPCの位置や取り扱い方法などを工夫する必要があります。
また個人データをまとめた書類やPCなどは、盗難に合わないように施錠できるデスクで保管しなければなりません。持ち運ぶ際はPCにパスワードを設定する・書類は封筒に入れ、鞄で持ち運ぶなど、すぐに情報が漏えいしないような対策を取ります。
個人データを削除するときは、PCはデータ削除ソフトを使用する、書類ならシュレッダーにかけるなど、簡単に復元できない方法で削除しなければなりません。
技術的安全管理措置
個人データをPCなどの電子機器を利用して管理する際には、以下の四つの義務を果たす必要があるのです。
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報システムの使用に伴う漏えい等の防止
個人データへアクセスできる従業員を決め、アクセスにはIDやパスワード入力を必須として不要なアクセスを防ぎます。セキュリティ対策ソフトを導入し、OSは常に最新版にアップデートして安全な状態を保つ必要があります。
情報システム(メールやチャット) で個人データファイルを取扱うときは、ファイル閲覧にパスワードを設定するなどして、漏えいを防がなければなりません。
改正個人情報保護法で気をつけること
2022年4月に施行された「改正個人情報保護法」において、多くの企業で見直しが必要となることが予想されています。注目すべき事項を3点に絞って解説します。
漏えい事故の報告義務化
改定前の個人情報保護法では、個人データの漏えいが発生した場合の報告は、企業の判断に委ねられていました。
今回の改定ではデータが漏えいした場合(漏えいする恐れがある場合も含む)、個人情報保護委員会への報告と本人への通知が義務化されました。さらに個人データの故意の漏えい、不正流用などの禁止義務が明示化されています。
これらに違反した場合の罰則・罰金は、違反行為をした者と法人の両方に科され、一部の罰金額は大幅に引き上げられました。令和2年12月12日に施行されています。
現在の罰則・罰金は以下のとおりです。
| 懲役刑 | 罰金刑 | ||
| 個人情報保護委員会からの命令への違反 | 行為者 | 1年以下 | 100万円以下 |
| 法人等 | – | 1億円以下 | |
| 個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 50万円以下 |
| 法人等 | – | 1億円以下 | |
| 個人情報保護委員会への虚偽報告等 | 行為者 | – | 50万円以下 |
| 法人等 | – | 50万円以下 | |
罰則の強化からも分かる通り、安全管理措置の適切な実施は事業者が行わなければならない重要な義務なのです。自社の個人データの安全管理措置が適切かどうか、一度見直してみるとよいでしょう。
参考:個人情報保護法委員会「漏えい等報告・本人への通知の義務化について」
参考:個人情報保護委員会「改正個人情報保護法について」
個人情報の利用目的を明確にする
「個人情報の利用目的」については、ガイドラインの内容が改正されました。条文では「個人情報の利用の目的は”できる限り”特定しなければならない」とされており、利用目的の特定についてあいまいな表記になっていたのです。
そこで「本人が自分の情報が何の目的で利用されるかがわかる程度」に、具体的に示すように改正されました。
ガイドラインでは、以下のようによい例、悪い例があげられています。
【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
事例 1)「事業活動に用いるため」
事例 2)「マーケティング活動に用いるため」
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」 3-1-1利用目的の特定
この改正により、事業者は個人データの利用目的が特定できる記載となっているかどうか、プライバシーポリシーなどを見直す必要があります。
外的環境の把握
外的環境の把握とは、個人データを取扱う事業者が「外国で個人データを扱う場合」に、その国の制度等を把握して安全管理措置を講じるように明確化したものです。
「外国で個人データを扱う場合」については、以下のような場合が該当します。
- 事業者が、外国にある支店等に個人データを取扱わせる場合
- 事業者が、外国の第三者に個人データの取扱いを委託する場合
- 外国の事業者が、国内の者に対する物品やサービスを提供する際に、国内の者の個人データを取扱う場合
さらに個人データを取扱う国名と、その国の個人情報保護に関する制度も公表するのが望ましいとされています。
安全管理措置と共に知っておきたい知識
個人情報を法律に沿って取扱う企業が取得できる「プライバシーマーク」と、安全管理措置の公表に関連する「プライバシーポリシー」について解説します。
プライバシーマーク
プライバシーマークは、個人情報を適切に扱う会社だけが表示できるマークです。このマークは、その企業が個人情報の漏えいなどしないよう、適切に取扱う仕組みを構築し、運用していることを表します。
客観的に見て「安心できる企業だ」という信頼に繋がるマークとして、プライバシーマークを取得する会社は増えています。
特に2005年の「個人情報保護法施行」を機に増加しており、現在は16,899社が取得しています。(2022年3月18日時点)
プライバシーポリシー
プライバシーポリシーとは「個人情報の利用目的や管理方法をまとめて公表したもの」です。
今回の個人情報保護法の改正における「公表等事項の充実」により、「個人データの安全管理措置の具体的な内容を、本人の知り得る状態に置くこと」が求められています。
そのため個人情報を扱う事業者は、自社の安全管理措置の状況をまとめて、プライバシーポリシーで公表しなければなりません。
個人情報を守るため安全管理措置を見直そう
個人情報に対する意識は年々高まる一方で、不正アクセスや従業員のミスによる個人情報の流出事例は後を絶ちません。
情報漏えいは顧客の信頼を失い、企業にとって大きなダメージとなります。改正個人情報保護法に沿って自社の安全管理措置を見直し、取得した個人情報の保護に努めましょう。
ミツモアでマイナンバー管理システムを探してみよう!
あなたにぴったりの見積もりが届く!
見積もりを依頼すると、会社規模や指針に合った最大5社から概算金額、おすすめプランの見積もりが届きます。
その見積もりの中から、条件にあったプランを探してみましょう。もちろん見積もり費用は無料です。
