小規模事業者も5月30日から適用対象に!
個人情報保護法ガイドライン 会社の現状チェックと対策
弁護士
鈴木 雅人(弁護士法人 三宅法律事務所)
III 個々の対応内容について
1. 前提事項を確認する準備行為として各事業者が共通して行わなければならない事柄
(1)PTの立ち上げ
まずはPTの立ち上げです。本対応は担当を1人定めてその者に任せればよいというものではなく、複数人で対処する必要があります。
メンバーは、IT担当部門等、この種の問題に日頃から触れやすい部署のメンバーのほか、現業部門等も含め各担当部署から人員を確保し、横断的な組織をつくるのが望ましいところです。「内向き」の量の多い事務作業で、かつ事業者内の各部署に各種規定を遵守「させなければならない」ため、対応事項を浸透させるためには、むしろ各部署からメンバーを集めたほうが効率的なのです。もちろん各部署の現況把握にもこのメンバー構成は有益です。
なお、改正法への対応が社内に与える影響は大きいので、この作業チームは社長の直轄下に置くか、担当役員を任命しその下に設置するほうが良いと思います。
(2)「個人情報の棚卸し」について
「個人情報の棚卸し」とは、「事業者自身が現在どんな情報を保有しているのか、それが個人情報保護法の定める定義上のいずれに当たるのかを確認し、振り分ける作業」のことで、これにより確認すべき事項は、(1)(各部署における)個人情報の取扱いの有無、(2)保有個人情報の種類(要配慮個人情報の有無、プライバシーとの関係、狙われやすい情報か否か〔流失した場合の価値〕など)、(3)保有個人情報の用途(業務上使用されている領域・目的、当該情報の業務における重要度など)、(4)保有個人情報の取得・利用・保管・廃棄の各方法(データベースか紙での利用か、インデックスの有無、保管場所、安全管理の状況、想定流失経路など)等です。
確認できた結果については、1)改正法上の定義の視点(「個人情報」「個人データ」「保有個人データ」のいずれか?「要配慮個人情報」に当たらないか?)、2)利用目的・利用頻度といった事業者の側から見た当該情報の重要性という視点、3)当該情報が「要配慮個人情報」のような機微情報なのか、一般の個人情報か、あるいは公表情報かといった情報自体の機微性の視点、4)情報の価値や性質から見て、どの程度狙われやすいかという視点、5)現在の保管状況から見た漏洩の脆弱性の視点、から振り分け、リスト化していきます。
2 個人情報保護法の義務との関係で対応すべき事項
(1)利用目的の整理・特定と伝達手段の選定
[1]利用目的の整理・特定
次に、「利用目的の整理・特定と通知・公表・明示」についてです。
ここでいう「利用目的」とは、個人情報取扱事業者が、当該情報を用いて最終的に達成しようとする目的のことです。改正法上、明示される「利用目的」は「できる限り限定」されている状態になければなりませんが(法15条1項)、「できる限り特定」されている状態とは、どのような状態を指すでしょうか。
この点、ガイドラインは、特定できている場合の例として、「事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、『○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせの為に利用します』等の利用目的を明示している場合」を挙げており、特定の程度については、「多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される。なお、利用目的の特定に当たり『○○事業』のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。」と述べています。なお、ガイドラインでは「第三者に提供すること」があらかじめ当該個人情報に関して想定されている場合には、利用目的の中でこれを特定し明示すべきとしており、注意が必要です。
さて、この作業を効率的に行うにあたってのキーワードは何でしょうか。それは「最大公約数」の発見です。
個人情報の棚卸しの中で、手元にある各情報として何があるのかについては見えていると思いますし、作成された個人情報リストには既に各々の情報についての現在の利用実態と保有の目的が記載されていることでしょう。しかし、通知・公表・明示に当たっては、それを「A情報の利用目的は○○」「B情報の利用目的は○○と××」といった具合に「1対1」の関係ですべて列挙しなければならないというものでもなく、手持ちの個人情報全体についてその利用目的を類型化してまとめて表示することも可能ですし、実際の実務においてもこのような方法が定着しています。
したがって「手元にある各情報」について、何が目的として「最大公約数」であるのかを見極めることで後の公表などでも「省力化」を図ることができます。
[2]伝達手段の選定
続いて、整理・特定した利用目的をどのような形で情報主体たる本人に伝達するのかを検討していくことになります。
一般に情報主体たる本人はかなりの数に上ることが多く、個別の「通知」は費用面でも手間の面でも負担が大きいため、まずは「公表」を検討するのが「省力化」の観点からは相当といえます。
ただし、1点だけ注意すべき点があります。それは、法が契約書その他の書面(電子的方式、磁気的方式方法を含む)に記載された個人情報の取得を行う場合など、書面に記載された情報を直接取得する場合にはあらかじめ利用目的を明示しなければならないとしていることです(法18条2項)。「あらかじめ」という要件を確実にするためには、上述のウェブサイトへの明示事項の継続的記載等だけでは対応しきれない部分が生じてきますので、これらの場合には別途明示事項をどこに盛り込むのかを検討しなければなりません。
(2)適正・安全な取得・利用
[1]取得について
次に、個人情報・個人データ等の適正・利用等に関する規制への対応について見ていきたいと思います。
取得時の規制として、個人情報保護法は「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」と定めています(改正法17条1項)。
「不正の手段」についてはガイドラインでも例示があり、欺罔行為や脅迫行為を伴う取得がこれに当たるのは当然ですが、個人情報保護法違反行為をはじめ不正な手段で取得されたものと認識しながら、個人情報を取得する行為もこれに当たります。
ちなみに、取得の関連では、改正法が新たに定めた特有事項があります。それは、「要配慮個人情報」への対応です。
「要配慮個人情報」とは、本人に対する不当な偏見、差別等の不利益が生じないよう、取扱いに特に配慮を要する個人情報のことで、「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」のほか、政令で、健康診断結果の情報や健康診断等に基づく心身状態改善のための指導・診療・調剤に関する情報、障害に関する情報、被疑者または被告人として逮捕、捜索、差押え、勾留等の刑事手続を受けた事実、あるいは少年保護事件の手続きを受けた事実がこれに含まれます。
「要配慮個人情報」については、原則として同意なしに収集することができません(改正法17条2項)。特に、健康診断情報を告知事項として取得しなければならない保険会社など、常時、業務上これを取得しなければならない事業者においては、専用の記載を行い、同意のチェック欄を設けるなどの対応を考える必要があります。また、マスキングなどにより不要な情報を取得しないことも必要でしょう。
[2]登録・保管について
登録・保管に関する規制として、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」との定めが置かれています(消去義務、19条)。ちなみに、消去すべきか否かは「利用目的」との関係で決せられるべき問題ですが、法令上の保存期間がある場合はそちらが優先されることになります。
併せて、「利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つ」ことを求める、データ内容の正確性・最新性の確保というものもありますが(19条)、こちらも「利用目的」との関係で必要な範囲でということですので、常時・一律に最新化する必要はなく、あくまでそれぞれの情報の「利用目的」に応じ、その必要な範囲内で正確性・最新性を確保すれば足りるものといえます。
(3)安全管理措置
改正法は、「個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めています(改正法20条)。
ガイドラインでは、「取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等」を定めた個人データの取扱いに関する規律を整備したうえで、以下の四つの切り口からこの安全管理措置を行うべきとしています。
ちなみに、規律において具体的に盛り込む事項については、「組織的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容並びに情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)は技術的安全管理措置の内容を織り込むことが重要である。」と指摘しています。
[1]組織的安全管理措置(組織体制の整備、個人データの取扱に係る規律に従った運用、個人データの取扱状況を確認する手段の整備、漏えい等の事案に対応する体制の整備、取扱状況の把握及び安全管理措置の改善・見直し)
[2]人的安全管理措置(従業者への定期研修、秘密保持に関する事項の就業規則等への盛り込み)
[3]物理的安全管理措置(個人データを取り扱う区域の管理、機器・電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器・電子媒体等の廃棄に関する規律の策定)
[4]技術的安全管理措置(アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい等の防止)
ところで、中小規模事業者については、取り扱う個人データの数量および個人データを取り扱う従業員数が一定程度にとどまること等から、通常の事業者同様の措置をすべてとる必要がない場合も考えられ、このような場合の手法が例としてガイドラインで示されています。
ここでいう中小規模事業者とは、基本的に従業員数が100人以下の個人情報取扱事業者をいいますが、次に掲げるものを除くものとされています。
[1]その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5,000を超える者
[2]委託を受けて個人データを取り扱う者
通常の事業者の場合と比べると、個人データの安全管理に関し、個人データの取扱区域の管理(分別)、アクセスログ確保、メール通信の暗号化の採用は必ずしも必要とされておらず、個人データが記録された書類・パソコン・記録媒体の廃棄に当たって必要とされる対応の範囲が違うなど、ガイドライン上求められているレベルが異なっています。
人事の専門メディアやシンクタンクが発表した調査・研究の中から、いま人事として知っておきたい情報をピックアップしました。
