ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
改正個人情報保護法
個人情報保護法が改正され、ほぼ全ての会社が個人情報取扱事業者となるため、あらためてセキュリティ対策が注目されています。改正個人情報保護法の内容とそのポイント、個人情報管理で対応すべき内容をご紹介します。
改正の背景・課題
個人情報保護法が平成17年(2005年)4月に全面施行されてから今日までの間、情報技術の発展により、制定当時には想定されていなかった問題が顕在化するようになりました。そのような背景があり、個人情報の保護を図りつつ、パーソナルデータの利活用を促進することによる新産業・新サービスの創出と国民の安心・安全の向上の実現のために、個人情報保護法の改正が行われました。
グレーゾーンの拡大
個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」が拡大。
ビッグデータへの対応
パーソナルデータを含むビッグデータの適正な利活用ができる環境の整備が必要。
グローバル化
事業活動がグローバル化し、国境を越えて多くのデータが流通。
改正個人情報保護法のポイント
個人情報取扱事業者の定義の変更
平成28年(2016年)からマイナンバー制度の運用が始まりました。企業は個人番号を一件でも取り扱う場合、番号法の規定に従って運用する必要があります。個人情報においても、企業が一件でも漏えいなどを発生させてしまうと個人情報本人の権利利益に侵害を与える恐れがあることから、保有する件数に関係なく個人情報の保護が求められます。
個人情報定義の明確化(グレーゾーンの解消)
個人情報の定義の明確化
特定の個人の身体的特徴をデータ化した情報等は、特定の個人を識別することが可能なため、それらを「個人識別符号」として定義し、それ単体でも個人を特定できる個人情報として取り扱うことになります(「個人識別符号」の定義は政令で定めます)。
改正後、取り扱いについて特に配慮を要する個人情報
本人に対して不当な差別や偏見が生じないよう人種、信条、病歴、犯罪の経歴などを含む個人情報については「要配慮個人情報」として定義し、一般的な個人情報よりも大切に取り扱うべきであるとしました。
- 本人の同意を得て取得することを原則義務化
- 本人の同意を得ない第三者提供の特例(オプトアウト)の禁止
そもそも個人情報とは
「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいいます。また、「紙媒体・電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの」を「個人情報データベース等」と呼んでいます。
- 個人情報に含まれるもの
- 氏名・生年月日・住所・電話番号/クレジットカード情報/顔の画像/防犯カメラ(画像・音声データ)/銀行口座番号/個人識別が可能なメールアドレス
- 改正後含まれるもの
- 指紋認証・顔認証データ/パスポート番号/免許証番号/端末IDや機器に関する情報
- 改正後、取り扱いについて特に配慮を要する個人情報
- 人種・信条・社会的身分/病歴/犯罪歴・被害歴
ポイント
個人情報データベースに該当する事例
- メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、ソフトウェアなどでリスト化された従業者や顧客台帳
- 五十音順に整理し、インデックスを付してファイルしている登録カード
個人情報の有用性を確保
匿名加工情報の活用
個人情報をビッグデータ等で事業活動に活用できないのでは、経済活動の発展を抑制しているという観点から「匿名加工情報」(個人情報を加工し、特定の個人の識別することが不可、および元の個人情報に復元することも不可にした情報)として加工を施した情報であれば、一定のルールの下に自由に流通を利活用することができるようにしました。これにより、大量のデータを収集、分析し、ビジネスに活用することが可能となりました。
利用目的の変更制限の緩和
現行の個人情報保護法でも、特定した個人情報の利用目的についてはある程度予見ができれば変更することが可能です。ただし利用目的の変更には「相当の関連性を有すると合理的に認められる場合」にのみしか認められないことが示されていたため、関連性がある変更であっても事業者が利用目的の変更に躊躇する状況でした。今回、「相当の」を削除することで、ある程度柔軟に利用目的を変更することができるようになります。
個人情報の流通の適性さを確保(名簿屋対策)
トレーサビリティ
個人データを第三者に提供したときは、提供先の氏名等、個人情報保護委員会が定める事項の記録を作成し、一定期間保管する必要があります。また、個人データの第三者提供を受け取る側も、提供者や個人データの取得経緯等を確認した記録を作成し、一定期間保管する必要があります。
個人情報データベース等提供罪
個人情報データベース等を不正な利益を図る目的で第三者に提供、または盗用した場合は、「個人情報データベース等提供罪」(1年以下の懲役または50万円以下の罰金)として処罰の対象になりました。
個人情報保護委員会の新設
番号法で設置された「特定個人情報保護委員会」を改組し、平成28年(2016年)1月1日に「個人情報保護委員会」として新設されました。今後個人情報保護委員会が定める規則やガイドラインが運用上重要となります。マイナンバー関連の規定作成や実運用も同委員会が行い、特定個人情報を含めた個人情報全体の監視・監督を行います。
個人情報取り扱いのグローバル化
個人情報保護委員会の規則に沿った方法、または同委員会が認めた国、または本人同意により外国への第三者提供が可能となりました。
安全管理措置(漏えい対策)
経済産業省の個人情報保護法ガイドライン(現行)は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(中略)組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。」とあり、個人情報を取り扱う以上、ガイドラインに沿った漏えい対策は必須となります。
ガイドラインに沿った漏えい対策の具体例
組織的安全管理措置
漏えい対策の社内規定と組織体制を整備することが急務です。規定に従った運用を随時評価、見直しをしながら進めていくことが重要となります。
人的安全管理措置
秘密保持に関する従業員との契約締結はリスク対策として重要です。また随時従業員の漏えい対策に関する研修などを行い、知識増強を図っていかなければなりません。
物理的安全管理措置
施錠付きキャビネット(金庫)への保管や、従業員以外立ち入り禁止とする制限区域の設置などの対応が必須となります。またPC機器などへのセキュリティワイヤーなどの対策も必要です。
技術的安全管理措置
データ管理をしている企業にとって必須の対策事項です。個人情報データへアクセスできる人を限定し(アクセス制御)、あわせて取り扱いの記録を取得することは、漏えい対策において非常に重要なポイントです。
ポイント
ガイドラインに沿った対策の必要性
ガイドラインに書かれている具体的対策はあくまでも「努力義務」ということですので、「全ての対策を行っていないと法律違反」ということにはなりません。しかし、漏えい事故や事件があったときに「どこまで安全管理措置を行っていたか」ということは、裁判などで評価されることになります。個人情報取扱事業者にとっては、より強固な安全管理措置をとるよう具体的な対策・社内の運用体制の整備をしていくことが求められます。
個人情報漏えいのリスク
個人情報保護法の罰則規定
マイナンバー法は最も重い刑事罰が「4年以下の懲役または200万円以下の罰金 もしくはその両方」であることと比較すると軽い印象ではありますが、漏えい事故があった際の企業の信用低下など社会的な影響は非常に大きなものとなります。
情報漏えいした場合の補償費用
漏えい情報の内容によって差異はありますが、一件あたり数万円(1~3万円)の補償が必要となる場合が多く、件数によっては数千万円~数億円の補償が発生することもあります。また補償による実損もありますが、企業にとっての一番の損害は信用失墜・イメージダウンが取引停止などのダメージにつながることであると考えられます。
システムに求められること
Excelなどの汎用ソフトでは、ウイルス感染・データ破損・操作ミスなどさまざまな危険が懸念されます。また、技術的安全管理で規定されているアクセス制御も、下記の項目をはじめとして不充分な場合があります。
- データの入力・参照権限の制御ができない
- データのコピーやメールへの添付ができるため、顧客情報の持ち出しが比較的容易である
- 操作履歴(ログ)が残らない
個人情報取扱事業者としてガイドラインに沿った情報管理を実施するために、セキュアな顧客データベースの構築が求められます。
ソリューション
個人情報の適切な取り扱いについて従業員に教育する
改正個人情報保護法の準備に対応 「改正個人情報保護法への実務対応解説DVD+社員研修DVD」セット
ガイドラインの「人的安全措置」として求められている「従業員の教育」について、実務担当者向け解説DVD、従業員向け研修DVD、関連書式ひな形などをパッケージ化しています。最新の法令やガイドラインへの対応を主導する企業の実務担当者の負担軽減につながる製品です。
個人情報を管理するシステムを見直す
顧客管理システム SMILE V CRM QuickCreator
管理項目を選んで画面レイアウトを作成するだけで、システムを簡単に作成できます。Excelで管理しているデータを管理項目に変換できるので、データベース化作業も簡単操作でラクラク。「顧客」という個人の情報に限らず、「商品・物件」などの情報も管理対象としてシステム化が可能です。また、保守契約加入特典として豊富な活用サンプルをご提供します。
人事管理から定型の給与計算業務までをフルサポート。自由項目を利用した独自の人事情報や、履歴情報を管理することで、人事異動の判断材料などに活用できます。
複合機でスキャンした名刺データをセキュアな環境で共有できます。またCTIとの連携で、事務所PCでも外出先のスマートフォンやタブレットからでも、名刺・顧客情報や今までの対応履歴が確認でき、対応の効率化や顧客満足度向上につながります。
セキュリティ対策全般を見直す
個人情報の流出を防ぐため、大塚商会ではファイアウォール・セキュリティスイッチ・IT資産管理など、多重のセキュリティ対策で危険を低減させる「多層防御」を推奨しています。
関連コラム
改正個人情報保護法に関連するコラムを紹介します。
- 北條 孝枝
- 株式会社ブレインコンサルティングオフィス
改正個人情報保護法の詳細について
制度自体の詳細につきましては、経済産業省のWebサイトにてご確認ください。