作成日:2015/1/9
※個人情報保護法の改正に伴い、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」は平成29年5月30日に廃止となりました。以下の記述はあくまでも参考情報としてご確認ください。
昨年のベネッセコーポレーション顧客情報漏えい事件等を受けて、経済産業省は2014年12月12日に「個⼈情報保護法の経済産業分野を対象とするガイドライン」を改正し、同日に告示・施行したことを発表しました。
今回の改正では、ベネッセ社の事件の反省に基づいた内部不正への対応や委託先管理、等について見直されています。
それでは、今回の改正における主なポイントを確認してみます。
改正のポイント概要
1.第三者からの適正な取得の徹底
2.社内の安全管理措置の強化
3.委託先等の監督の強化
4.共同利用制度の趣旨の明確化
5.消費者等本人に対する分かりやすい説明のための参考事項の追記
改正のポイント1-第三者からの適正な取得の徹底(個人情報保護法第17条に関連)
ベネッセ社の事件では、漏えいした個人情報を、いわゆる名簿業者から取得したジャストシステム社等に対しても社会的批判がありましたが、その事象を踏まえてのことだと推測されます。改正されたガイドラインでは、
- 第三者から個人情報を取得する場合、当該情報が適法に入手され、管理されていることを確認することが望ましいことを追記
- 適法に入手されていることが確認できない場合は、取引の自粛を含め、慎重な対応が望ましいことを追記
といった内容が追記されています。
名簿業者等の個人情報を提供する側に直接働きかけるのではなく、購入側で注意を喚起する内容となっているため、ベネッセ社の事件の様に複数の名簿業者を介した場合にどこまで遡及できるかは未知数ですが、一定の縛りにはなるかもしれません。
改正のポイント2-社内の安全管理措置の強化(個人情報保護法第20条に関連)
安全管理措置として組織的、人的、物理的及び技術的という分類はこれまで通りですが、それぞれの分類で事業環境や技術的進化を反映した内容を例示しています。以下にその一部を紹介します。
- 「組織的安全管理措置」として、個人情報保護管理者(CPO:Chief Privacy Officer)を役員から任命し、その責任範囲を定義
- 「人的安全管理措置」として、従業者とは従業員だけでなく役員や派遣社員を含むことを定義
- 「物理的安全管理措置」として、入退館(室)の記録、記録機能を持つ機器等の検査、防犯カメラ等による記録やモニタリングの実施、等を例示
- 「技術的安全管理措置」として、外部からのサイバー攻撃対策、情報システムのアクセス制御とは別にデータベースへのアクセス制御を実施、アクセスログの記録と当該ログの改ざんや不正消去の防止、等
現実問題として、改正ガイドラインの内容を網羅するよう様な対応は困難だろうと想定します。ガイドラインでも、
「中小企業者においては、事業の規模及び実態、取り扱う個人データの性質及び量等に応じた措置を講じることが望ましい」
と記載されており、コストに見合った安全管理措置を講じれば良いとされています。中小企業に限らず、自社の業容や事業環境、社内風土に沿った効率的かつ効果的な組み合わせを個社ごとに検討しなければならないと考えます。
改正のポイント3-委託先等の監督の強化(個人情報保護法第22条に関連)
昨今の個人情報漏えいについて、委託先による不正行為が目立ちます。特に情報システム関連では、弊社がこれまで指摘してきたように、データベースを直接操作できるスキルを有するのは委託元の情報システム部員よりも委託先の担当者であることが多くなってきており、その実態を踏まえて、以下の様に改正されています。
- 委託先における内部不正対策の安全管理措置が適切であることの確認、または実地検査の実施
- 委託契約時に取り決めた安全管理措置の実施状況を調査するための定期的な監査の実施
- 再委託、再々委託についても同様の措置を行うことが望ましいことを追記
現実問題として、委託先であるシステムインテグレーター等がどこまで応じるかどうかは不透明ですが、委託作業と同様に安全管理も丸投げするというスタイルは、もし何かが起きた場合に糾弾される可能性が高いと考えられます。
改正のポイント4-共同利用制度の趣旨の明確化(個人情報保護法第23条に関連)
昨今のビッグデータの流れを受けて、事業会社間で共同利用する個人データについて、事業者が共同利用を円滑に実施するために共同利用者における責任等を追加しています。
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 当該個人データの管理について責任を有する者の氏名又は名称
改正のポイント5-消費者等本人に対する分かりやすい説明のための参考事項の追記(個人情報保護法第23条に関連)
これまで、個人情報取扱事業者が顧客に対して行う説明は、法に則ってあらゆる場面を想定した内容となりがちなため、冗長で分かりにくい表現になる傾向がありました。そのような状況を反省し、以下の事項を個人情報の取扱いに関する情報として必要十分な記載事項とし、具体的かつ分かりやすい表現で説明することを求めています。
- 提供するサービスの概要
- 取得する個人情報と取得の方法
- 個人情報の利用目的
- 個人情報や個人情報を加工したデータの第三者への提供の有無及び提供先
- 消費者等本人による個人情報の提供の停止の可否、訂正及びその方法
- 問合せ先
- 保存期間、廃棄
最後に
今回改正されたガイドラインも含め、ガイドラインには法的拘束力はありませんが、何らかの形で行政処分を下さなければならない際の判断基準となるものです。また、個人情報漏えいが発生し、社会的関心が高まった際には、ガイドラインの内容と企業の状況が対比され、あまりにも乖離があると管理責任を問われる可能性もあります。
各企業は今回のガイドラインの改正に併せて、自社の個人情報保護に関する社内規程や実施状況を再確認し、必要に応じて見直しを行うことが望まれます。
中には委託先との契約条項の追加や定期的な監査等、実現のハードルが高そうな事項もありますが、相互に議論した上で安全管理基準の高いレベルで合意できればよいのではと考えます。
上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。
デルタエッジコンサルタントでは、個人情報保護に関して、
・個人情報の入手から保管、廃棄までの一連のプロセスの策定
・個人情報の漏えい防止(不正アクセス/内部不正)に向けた情報セキュリティ対策
・個人情報保護法等、関連する制度への対応
・万が一、個人情報が漏えいした際の危機管理体制策定
を支援するコンサルティングサービスを提供しています。詳細はこちらをご覧ください。
==>「コンサルティングサービス-リスク管理」のページ
興味や関心がございましたら、ぜひご連絡ください。