個人情報保護に関して、企業が策定すべき社内ルールと対策とは？

個人情報は、「個人情報の保護に関する法律（個人情報保護法）」において、取り扱いのルールが定められています。

「個人情報」は、個人情報保護法第2条第1項で以下のとおり定義されています。

上記の定義をまとめると、「個人情報」とは、「その情報自体から」または「他の容易に照合できる情報と併せて」特定の個人を識別し得る情報であると理解すべきでしょう。

個人情報を取り扱う企業は、個人情報保護法やガイドラインの規定を遵守し、多方面から個人情報保護対策を実施する責務を負っています。

以下では、企業が実施すべき個人情報保護対策について、その主な内容を解説します。

1. （1）個人情報保護に関する責任者を設置する

   企業が責任を持って個人情報を取り扱うには、個人情報保護に関する社内ルールを統一的に実施しなければなりません。
   
   そのためには、社内における個人情報の取り扱いにつき、全面的に管轄する個人情報責任者（個人情報保護管理者）を設置することが有効です。
   
   個人情報に関する責任者は、主に以下の業務を行います。
   

   • 個人情報の取り扱いに関する対内的・対外的なルールの策定、アップデート
   • 従業員に対する社内ルールの周知
   • 個人情報漏えい時のトラブル対応

   など
   
   
   

   会社の規模が小さい場合には、個人情報に関する責任者が、他の部署と兼務することもあり得るでしょう。しかし、会社の規模が大きくなってきたら、個人情報に関する責任者の業務範囲も拡大するため、専任とすることが望ましいと考えられます。

2. （2）社内マニュアルを整備する

   全社的に個人情報保護の取り組みを推進するには、社内マニュアルをきちんと整備することが大切です。
   
   社内マニュアルの中では、個人情報保護法の規定を踏まえて、最低限以下の事項について定めておきましょう。
   

   • 個人情報の利用目的の特定、制限（同法第17条、第18条関連）
   • 個人情報の取得に関する手続き（同法第20条、第21条関連）
   • 個人データの更新、消去（同法第22条関連）
   • 個人データの安全管理（同法第23条～第25条関連）
   • 個人データの第三者提供に関する同意取得等の手続き（同法第27条～第31条関連）
   • 保有個人データの公表、開示、訂正等に関する手続き（同法第32条～第39条関連）
   • 苦情処理に関する手続き（同法第40条関連）
   
   
   

   また、部署ごとの取引などに関して、個人情報保護が問題になりやすい場面があれば、個別の取引マニュアルにも注意点を明記しておくとよいでしょう。

3. （3）情報システムのセキュリティーを万全にする

   個人情報の漏えい等は、メールの誤送信などのミスや、社内システムへのハッキングなど、ITセキュリティー上の問題によって発生する可能性があります。
   
   もっとも多い漏えい原因は、紛失や置き忘れで、次点が誤操作によるものと続き、管理ミスを含めると、人為的ミスが原因となった情報漏えいが63％を占めます（出典：JNSA 2018年 情報セキュリティーインシデントに関する調査報告書）。他方で、不正アクセスやセキュリティーホールなどが原因で情報漏えいしたケースも22.3％もあるため、システム上のセキュリティーを技術的に強化することは必須です。
   
   技術的なセキュリティー対策を行ったうえで、以下のようなセキュリティー対策を講じて、個人情報の漏えい等のリスクを最小限に抑えましょう。
   

   • ファイルへのパスワード設定を義務化
   • フォルダにアクセス権を設定
   • コンピュータウイルスの検出ソフトを導入
   • メール送信時に確認メッセージを表示
   • 紙での出力や持ち運びを制限する

   など

4. （4）秘密保持契約の内容を見直す

   個人情報を含んだデータを取引先などに提供する場合には、取引先における漏えいリスクも適切に管理する必要があります。
   
   具体的には、個人情報を含めた秘密保持義務を秘密保持契約において明記し、漏えい等が発生した際には損害賠償などを請求できるようにしておくことが大切です。
   
   秘密保持契約のレビューは、弁護士に依頼すればスムーズに完了することができるでしょう。

これまで個人情報保護法が適用されるのは、民間企業に限られていました。一方、行政機関においては、個人情報保護法とは異なる法律や、地方公共団体が独自で定める条例が適用されており、規定内容や運用の相違によって混乱を招き、個人情報の保護水準に不均衡が生じていたのです。

そのため、今回の法改正で、国の行政機関、独立行政法人など、民間企業や地方公共団体が別々で運用していた個人情報保護の法律や条例を、国の個人情報保護委員会が個人情報を一元的に所管することになりました。個人情報保護法が全国共通ルールとなることで、個人情報保護の質の向上やデータ流通の適正化が期待されています。

なお、地方公共団体などにおいて運用する細かなルールについては、法律の範囲内で、個別に条例を定めることとされています。

個人情報保護に関する社内ルールを整備しても、それが社内で適切に遵守されなければ意味がありません。
もし社内ルールの遵守が徹底されていない場合、会社としては以下の対応を検討しましょう。

1. （1）社内マニュアルの周知など従業員教育を徹底する

   社内マニュアルの不遵守は、その内容が従業員に周知されていないことに原因がある場合が多い傾向があるようです。
   
   コンプライアンス研修の一環として、個人情報保護に関するチャプターを設け、従業員の個人情報保護に対する意識を啓発しましょう。

2. （2）悪質なケースについては懲戒処分を行う

   意図的に、または重大なミスによって個人情報を流出させたケースでは、他の従業員に対して注意喚起をするため、懲戒処分を行うことも有力な選択肢です。
   
   ただし、客観的に合理的な理由がなく、社会的相当性を欠く懲戒処分は違法・無効となってしまいます（労働契約法第15条）。そのため、事前に事実関係を精査したうえで、社内ルール違反の悪質性・程度に応じて妥当な懲戒処分を課すようにしましょう。
   
   懲戒処分の適法性について不安がある場合には、ベリーベスト法律事務所の弁護士にご相談ください。

個人情報取扱事業者は、漏えい等による不祥事のリスクを最小限に抑えるため、個人情報保護対策を徹底する必要があります。

個人情報保護に関する社内ルールなどを整備するに当たって、不安な点やわからない点があれば、ぜひ一度ベリーベスト法律事務所 姫路オフィスでご相談ください。個人情報管理の知見が豊富な弁護士が、社内の状況などに合わせた適切な対処法についてアドバイスを行います。