電話でのご相談予約はこちら

0120-733-043

平日9:30~18:00

メールでのご相談予約はこちら お問い合わせフォーム 24時間・365日受付

メニュー メニュー

個人情報保護に関して、企業が策定すべき社内ルールと対策とは?

2021年07月01日
  • その他
  • 個人情報保護
  • 社内ルール
個人情報保護に関して、企業が策定すべき社内ルールと対策とは?

姫路市では、個人情報保護法とは別に、平成17年12月より個人情報保護条例を制定し、個人情報保護に取り組んでいることがアナウンスされています。

個人情報を取り扱う企業は、本人のプライバシー権に配慮して、情報管理を万全に行う必要があります。もし個人情報保護の面で不安がある場合には、この機会に社内ルールを見直して、情報管理体制を強化しましょう。

本コラムでは、企業が講ずべき個人情報保護対策の内容などについて、ベリーベスト法律事務所 姫路オフィスの弁護士が解説します。

(出典:姫路市「個人情報保護制度のご案内」)

1、個人情報とは?

個人情報は、「個人情報の保護に関する法律(個人情報保護法)」において、取り扱いのルールが定められています

「個人情報」は、個人情報保護法第2条第1項で以下のとおり定義されています。

①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)

②個人識別符号※が含まれるもの
※個人識別符号=特定の個人を識別することができる、電磁的な文字、番号、記号その他の符号


上記の定義をまとめると、「個人情報」とは、「その情報自体から」または「他の容易に照合できる情報と併せて」特定の個人を識別し得る情報であると理解すべきでしょう。

2、企業が実施すべき主な個人情報保護対策は?

個人情報を取り扱う企業は、個人情報保護法やガイドラインの規定を遵守し、多方面から個人情報保護対策を実施する責務を負っています。

以下では、企業が実施すべき個人情報保護対策について、その主な内容を解説します。

  1. (1)個人情報保護に関する責任者を設置する

    企業が責任を持って個人情報を取り扱うには、個人情報保護に関する社内ルールを統一的に実施しなければなりません

    そのためには、社内における個人情報の取り扱いにつき、全面的に管轄する個人情報責任者(個人情報保護管理者)を設置することが有効です。

    個人情報に関する責任者は、主に以下の業務を行います。

    • 個人情報の取り扱いに関する対内的・対外的なルールの策定、アップデート
    • 従業員に対する社内ルールの周知
    • 個人情報漏えい時のトラブル対応
    など


    会社の規模が小さい場合には、個人情報に関する責任者が、他の部署と兼務することもあり得るでしょう。しかし、会社の規模が大きくなってきたら、個人情報に関する責任者の業務範囲も拡大するため、専任とすることが望ましいと考えられます。

  2. (2)社内マニュアルを整備する

    全社的に個人情報保護の取り組みを推進するには、社内マニュアルをきちんと整備することが大切です。

    社内マニュアルの中では、個人情報保護法の規定を踏まえて、最低限以下の事項について定めておきましょう。

    • 個人情報の利用目的の特定、制限(同法第15条、第16条関連)
    • 個人情報の取得に関する手続き(同法第17条、第18条関連)
    • 個人データの更新、消去(同法第19条関連)
    • 個人データの安全管理(同法第20条~第22条関連)
    • 個人データの第三者提供に関する同意取得等の手続き(同法第23条~第26条関連)
    • 保有個人データの公表、開示、訂正等に関する手続き(同法第27条~第33条関連)
    • 苦情処理に関する手続き(同法第35条関連)


    また、部署ごとの取引などに関して、個人情報保護が問題になりやすい場面があれば、個別の取引マニュアルにも注意点を明記しておくとよいでしょう。

  3. (3)情報システムのセキュリティーを万全にする

    個人情報の漏えい等は、メールの誤送信などのミスや、社内システムへのハッキングなど、ITセキュリティー上の問題によって発生する可能性があります。

    もっとも多い漏えい原因は、紛失や置き忘れで、次点が誤操作によるものと続き、管理ミスを含めると、人為的ミスが原因となった情報漏えいが63%を占めます(出典:JNSA 2018年 情報セキュリティーインシデントに関する調査報告書)。他方で、不正アクセスやセキュリティーホールなどが原因で情報漏えいしたケースも22.3%もあるため、システム上のセキュリティーを技術的に強化することは必須です。

    技術的なセキュリティー対策を行ったうえで、以下のようなセキュリティー対策を講じて、個人情報の漏えい等のリスクを最小限に抑えましょう

    • ファイルへのパスワード設定を義務化
    • フォルダにアクセス権を設定
    • コンピュータウイルスの検出ソフトを導入
    • メール送信時に確認メッセージを表示
    • 紙での出力や持ち運びを制限する
    など
  4. (4)秘密保持契約の内容を見直す

    個人情報を含んだデータを取引先などに提供する場合には、取引先における漏えいリスクも適切に管理する必要があります

    具体的には、個人情報を含めた秘密保持義務を秘密保持契約において明記し、漏えい等が発生した際には損害賠償などを請求できるようにしておくことが大切です。

    秘密保持契約のレビューは、弁護士に依頼すればスムーズに完了することができるでしょう

3、令和4年4月施行予定・改正個人情報保護法の主な変更点は?

令和2年6月12日に改正個人情報保護法が公布され、令和4年4月1日から全面施行される予定となっています。

個人情報を取り扱う事業者は、改正個人情報保護法の内容を踏まえたうえで、前倒しで対応を進めましょう。

令和4年4月施行予定・改正個人情報保護法の主な変更ポイントは以下のとおりです。

  1. (1)本人の個人情報に関するコントロール権が強化される

    改正個人情報保護法では、以下のとおり本人の情報をコントロールする権利が大幅に強化されています。

    ①個人情報の利用停止・消去を請求できる範囲の拡大
    現行法上は、利用停止・消去の請求は、不正利用または不正取得がある場合に限られています。改正法では、事業者による利用の必要がなくなった場合や、その他本人の権利または正当な利益が害される恐れがある場合にも、利用停止・消去の請求ができるようになります(改正法第30条第5項、第6項)。

    ②保有個人データの開示請求権の拡大
    事業者が保有する個人データについて、本人が開示方法を指定できるようになります(改正法第28条第2項)。また、個人データの第三者提供記録についても、開示対象として追加されます(改正法第28条第5項)。

    ③6か月以内の短期保存データも開示・利用停止の対象になる
    Cookieなど、6か月以内に消去される短期保存データも、開示請求や利用停止請求の対象として追加されます(改正法第2条第7項)。
  2. (2)「仮名加工情報」に関する規制の新設

    改正個人情報保護法では、ビッグデータの利活用が拡大していることを踏まえて、「仮名加工情報」に関する規制が新設されます。

    仮名加工情報とは、記述の一部や個人識別符号を削除することにより、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した情報です(改正法第2条第9項)。
    現行法に規定される「個人情報」と「匿名加工情報」の中間に位置するものであり、規制も両者の中間的な内容となります。

  3. (3)その他の改正点

    上記のほか、改正個人情報保護法によって以下の変更が予定されています。

    • オプトアウト方式による第三者への個人データ提供を制限(改正法第23条第2項、令和3年10月1日施行予定)
    • 個人情報漏えい時に、個人情報保護委員会への漏えい報告および本人への通知を一部義務化(改正法第22条の2)
    • 事業者による個人情報の不適正利用の禁止(改正法第16条の2)
    • 個人情報保護委員会による認定制度の拡張(改正法第47条第2項)
    • 「個人関連情報」に関する規制の新設(改正法第26条の2)
    • 罰則の引き上げ(改正法第83条~第87条、令和2年12月12日より施行済み)
    • 域外適用、個人データの越境移転に関する規制(改正法第24条第2項、第3項、第75条)
    など

4、個人情報保護に関する社内ルールが守られていない場合の対処法は?

個人情報保護に関する社内ルールを整備しても、それが社内で適切に遵守されなければ意味がありません。
もし社内ルールの遵守が徹底されていない場合、会社としては以下の対応を検討しましょう。

  1. (1)社内マニュアルの周知など従業員教育を徹底する

    社内マニュアルの不遵守は、その内容が従業員に周知されていないことに原因がある場合が多い傾向があるようです。

    コンプライアンス研修の一環として、個人情報保護に関するチャプターを設け、従業員の個人情報保護に対する意識を啓発しましょう

  2. (2)悪質なケースについては懲戒処分を行う

    意図的に、または重大なミスによって個人情報を流出させたケースでは、他の従業員に対して注意喚起をするため、懲戒処分を行うことも有力な選択肢です。

    ただし、客観的に合理的な理由がなく、社会的相当性を欠く懲戒処分は違法・無効となってしまいます(労働契約法第15条)。そのため、事前に事実関係を精査したうえで、社内ルール違反の悪質性・程度に応じて妥当な懲戒処分を課すようにしましょう。

    懲戒処分の適法性について不安がある場合には、ベリーベスト法律事務所の弁護士にご相談ください。

5、まとめ

個人情報取扱事業者は、漏えい等による不祥事のリスクを最小限に抑えるため、個人情報保護対策を徹底する必要があります。

個人情報保護に関する社内ルールなどを整備するに当たって、不安な点やわからない点があれば、ぜひ一度ベリーベスト法律事務所 姫路オフィスでご相談ください。個人情報管理の知見が豊富な弁護士が、社内の状況などに合わせた適切な対処法についてアドバイスを行います。

  • この記事は公開日時点の法律をもとに執筆しています

お気軽にお問い合わせください ご相談の予約はこちら

姫路オフィスの主なご相談エリア

神戸市東灘区、神戸市灘区、神戸市兵庫区、神戸市長田区、神戸市須磨区、神戸市垂水区、神戸市北区、神戸市中央区、神戸市西区、姫路市、尼崎市、明石市、西宮市、洲本市、芦屋市、伊丹市、相生市、豊岡市、加古川市、赤穂市、西脇市、宝塚市、三木市、高砂市、川西市、小野市、三田市、加西市、丹波篠山市、養父市、丹波市、南あわじ市、朝来市、淡路市、宍粟市、加東市、たつの市、川辺郡猪名川町、多可郡多可町、加古郡稲美町、加古郡播磨町、神崎郡市川町、神崎郡福崎町、神崎郡神河町、揖保郡太子町、赤穂郡上郡町、佐用郡佐用町、美方郡香美町、美方郡新温泉町など、兵庫県内およびその他近隣地域

月額2,500円で弁護士費用を補償 追加費用0円で家族も補償対象に
ページ
トップへ