会社の情報管理

○ 個人情報保護法の全面施行

 個人情報の保護に関する法律(個人情報保護法)は平成15年5月に成立し、公布と同時に基本理念を中心に定めた規定は国や地方公共団体に施行されましたが、個人情報保護の実質的な内容である民間企業の具体的義務を定めた規定(第4章から第6章)も、平成17年4月1日に施行されました。
ところで、日本経済新聞社が国内の主要企業416社を対象に実施した「企業の情報セキュリティー調査」によると、自社のセキュリティー対策を十分と答えたのはわずか3%で、不足と答えたのが53%と過半数を占めています。情報流失の原因として企業が最も心配するのは、社員による不正な持ち出し(34%)や外部委託先による流失(25%)で、輸送途中での紛失など過失(14%)、盗難(14%)がこれに続き、外部からのシステムへの不正侵入は1%だけです。そして、情報の漏えいが起きた場合に最も懸念することはブランドのき損(74%)で、得意先からの取引停止(9%)や被害者からの訴訟リスク(6%)など具体的被害をあげた企業は少数です。
この法律の全面施行後、尼崎のJR脱線事故の際の被害者の家族の安否の問い合わせに対し搬送先の病院が個人情報保護法を楯に全く回答しないなど、この法律に対する過剰な反応が報道されましたが、同法の運用面での見直しの必要性が指摘されています。

○ 個人情報保護法の内容

■「個人情報」とは

生存する特定の個人を識別することができるもの、または他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいいます。従って、この要件に該当する限り企業の顧客リスト、クレーム情報、アンケート結果などの顧客情報、名刺、会議議事録、契約書などの取引先情報のほか、履歴書、健康診断書、通勤手段届、厚生年金・雇用保険等の情報、扶養家族届、給与・賞与明細、人事評価記録、出退勤記録、社員が作成した各種レポート、コンピュータアクセスのためのパスワードなどの社員情報も「個人情報」にあたります。また、「個人情報」はプライバシーの概念よりも広く、電話帳や登記簿に記載されている情報のように公開された情報も「個人情報」にあたります。

■「個人情報取扱事業者」

個人情報データベース等を事業の用に供している者を個人情報取扱事業者といいます。ただし、国の機関、地方公共団体、独立行政法人等は除かれますので民間の事業者だけが対象となります。なお、個人情報データベース等を構成する特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5000件を越えない事業者は除かれますが、ある部門で5000件に満たなくても、企業全体では5000件を越える場合は該当し、ほとんどの企業は個人情報取扱事業者に該当すると考えるべきでしょう。
このような事業者は、個人情報保護法や基本方針、各省庁別のガイドラインを遵守することが求められ、主務大臣の命令に違反した場合は6月以下の懲役または30万円以下の罰金が課せられます。

■ 個人情報取扱事業者の義務

① 利用目的の特定
「ご記入いただいた氏名、住所は、名簿として販売することがあります」など利用目的をできる限り具体的に特定する必要があります。

② 利用目的による制限
就職のための履歴書情報をもとに、自社の商品の販売促進のために商品のカタログ等を送るなど、特定された利用目的を超えて利用する場合、本人に事前の同意を得る必要があります。

③ 適正な取得
判断能力がない子供から、親の同意を得ないで、無関係な親の収入など家族の個人情報を取得するなど偽りその他不正の手段により個人情報を取得してはなりません。

④ 取得に際しての利用目的の明示等
アンケートに記載された個人情報を直接本人から取得する場合、インターネットのユーザー入力画面への打ち込み等により直接本人から個人情報を取得する場合などには、あらかじめ本人に対し利用目的を明示する必要があります。

⑤ 安全管理措置
取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。例えば、個人データに対しアクセス制御が実施 されておらず、アクセスを許可されていない社員がそこから個 人データを入手して漏えいした場合は安全管理措置義務に違反 したことになります。雇用契約時における非開示契約の締結や、社員に対する教育・訓練の実施は人的な安全管理措置にあたります。

⑥ 社員や委託先の監督  
個人データの安全管理のため社員や委託先に対し必要かつ適切な監督を行う必要があります。例えば、社員が安全管理措置を定めた規定に従って業務を行っていることを定期的に確認しなかったり、安全管理措置の状況を外部の委託者に契約締結時及びそれ以後定期的に把握せず、その結果個人データが漏えいした場合は監督を怠ったことになります。

⑦ 第三者への提供
グループ会社間、同業者間などで個人データを交換するなど個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得ることが必要です。

⑧ 本人関与 
・本人の求めに応じて、保有個人データがどのような目的で利用されているのか、原則として本人に通知しなければなりません。
・本人の求めに応じて、保有個人データについて原則として本人に開示しなければなりません。
・本人の求めに応じて、保有個人データの内容が事実でないときは、利用目的達成に必要な範囲内において訂正等を行わなければなりません。
・本人の求めに応じて、利用目的による制限、適正な取得、第三者提供の制限に違反していることが判明したときは、違反を是正するために必要な限度で、原則として利用停止等を行わなければなりません。

花のイメージ

○ 企業の対応策

 個人情報の管理について、今後法令に定めたルールを遵守することが厳しく求 められます。仮に法令に違反する取り扱いをした結果個人情報の漏えい事故が発生した場合、その企業はコンプライアンス(法令遵守)意識が乏しい企業でるというレッテルが貼られて企業ブランドの価値が下がり、また損害賠償を求められることを覚悟しなければなりません。
したがって、各企業はコンプライアンス経営を徹底するために、個人情報保護法への具体的な対応策を講じる必要があります。しかし、現実にはどのように具体的に対応すればよいのか見当もつかない企業が多くあると思われます。
まず、個人情報が社内のどの部署でどのように扱われているかを洗い出す作業から始める必要があります。そのうえで、個人情報を一元的に管理すること、個人情報管理責任者の設置、個人情報を取り扱う規定の作成、その運用の監督、個人情報を収集する際に本人への使用目的の明示の見直し、委託業者との契約内容の確認などの作業が必要です。

■ 具体的対策 
企業が最も心配する社員による情報の不正持ち出しや、パソコンの紛失・盗難 への具体的対策を説明します。

○ 書類上のデータの管理

 書類に記載された個人情報の管理については、物理的に管理する方法により 一定の効果があります。
経済産業分野を対象とするガイドラインでは、個人データを扱う部署への入退室管理を講じなければならないとしています。例えば、個人情報を取り扱う権限を持つ社員を出来るだけ少なくし、社員であっても部外者の立ち入りを原則として禁止する必要があります。また、部署の入り口にガードマンを配置して不審者の立ち入りを監視したり、清掃などで社外の者の入室を認める場合は権限を持った社員が必ず立ち会うなどの措置が必要です。

○ 電子データの管理

 電子データはパソコンに保存されているため、データの不正持ち出しやパソコンの紛失・盗難により容易かつ大量に個人情報が漏えいする危険があり、技術的に管理する方法が必要です。

① 効果的なのは、社員が業務で使用するパソコンを全廃し、情報漏えい防止型のネットワーク端末に切り替える方法です。
この新型端末は情報を記録するハードディスク駆動装置(HDD)を持たないため、内部に情報を一切保存出来ず、盗み出されても顧客情報などが流失する危険がありません。情報やソフトウェアはすべて本社のサーバーに蓄積され、社員には認証装置を配布して、使用資格をその都度確認し、使用資格がないと端末の電源が入らない仕組みにします。資格が確認された場合でも、全ての操作記録が保存され、また不自然な操作は瞬時に拒絶される仕組みです。このようにすると、本社サーバーに不正にアクセスされない限り情報もれの危険はありません。本社サーバーにはコンピュータウイルスへの感染や不正侵入などを防止する徹底した安全措置を講じます。

② 通常の社内LANでも、個人データへの正当なアクセスを確認するためのIDとパスワードによる認証、誰がどのデータにアクセスしているのか記録を全て残すこと、個人情報の重要度により閲覧を制限すること、社員によるフロッピーディスクなどの記録メディアの持ち出しや個人情報をメールで送信することを原則として禁止することは必要な措置です。

③ やむを得ず業務上の必要から社員が個人情報が入ったノートパソコンなどを社外に持ち出す場合でも、責任者の許可制にしたり、万一パソコンが社外で盗難にあった場合に備えてパスワードを厳重に設定したり、専用のカギを差し込まないと内容が読みとれないなどの仕組みにすることも必要です。

④ 個人情報を含むメールやファックスを誤った相手先に送信するのを防止するため、メールはあらかじめ登録されたアドレスしか送信できないようにしたり、フ ァックスで送るときは相手先を必ず事前に確認してから送信するなど送信先の誤りを防ぐ方法を社員に周知徹底する必要があります。

土曜法律相談実施中!! 当事務所は土曜日のご相談も承っております。当日でも対応可能です! メールでのお問い合わせはこちら
アフターファイブ-平日お勤め帰りのご相談もお気軽に。
アクセス

〒530-0054
大阪市北区南森町2-2-9
南森町八千代ビル4階

ホームページを見たとお伝えください 06-6361-6257

執務時間

月~金  午前9時15分~午後7時(午後7時までご来所頂ければ夜間相談可
土 午前9時30分~午後5時

毎日夜10時まで電話予約受付

詳しくはこちら
> > > >