個人情報の取り扱いに関して注意するべきコト その3

個人情報の管理における注意点

1 前回は、「個人情報を取得する場面」での注意点についてご説明させていただきましたが、今回は、「個人情報を管理する場面」における注意点についてご説明させていただきます。
  個人情報保護法が、個人情報取扱事業者に対して求めていることとしては、大まかには、①取り扱う個人データを安全に管理すること、②取り扱う個人データの内容の正確性を確保し、不要な個人データを消去することが挙げられます。

2 ①の個人データの安全管理措置義務を怠って、個人データの漏洩などの事態が生じた場合には、個人情報保護委員会から改善命令が出され、この改善命令にも違反した場合は、個人であれば1年以下の懲役または100万円以下の罰金、法人には1億円以下の罰金が科される可能性があります(個人情報保護法178条、184条)。また、情報漏洩等が発生した場合、民事上の損害賠償請求を受ける可能性がありますが、個人情報保護法等により求められる安全管理措置を適切に行っていなければ、個人情報取扱事業者の過失が認められる可能性が極めて高くなります。このように、この義務を怠った場合のリスクは大きいものですので、遵守できているか否か、十分に確認しておく必要があります。
  一方で、②の個人データの正確性確保義務、不要な個人データの消去義務は、努力義務、つまり違反しても罰則はない義務であり、①の義務ほど深刻な影響が出るものではありませんが、不正確な個人データを利用することは、事業者側にもメリットはなく、不要な個人データを保有しておくことは、漏洩等の事態が発生した場合の民事上の損害賠償リスクを大きくする原因にもなりますので、遵守しておくべきでしょう。

3 ①安全管理措置義務について
個人情報取扱事業者に求められる安全管理措置(個人情報保護法23条)については、個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン(通則編)」(https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10)において、中小規模事業者(従業員の数が100人以下の事業者を指しますが、取り扱う個人データの量が大きい場合や、委託を受けて個人データを取り扱う業者は除かれます。)と、それ以外の事業者に分けて、それぞれに求められる具体例を示しております。
ガイドラインにおいて中小規模事業者に求められる同義務の具体例としては、下記のものが挙げられておりますので、ご参考にされて下さい。
 〇個人データの取扱いに係る規律の整備
  ・個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。
 〇組織的安全管理措置
  ・個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。
  ・あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任あ
   る立場の者が確認する。
  ・漏えい等事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじ
   め確認する。
  ・責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う。
 〇人的安全管理措置
  ・個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。
  ・個人データについての秘密保持に関する事項を就業規則等に盛り込む。
 〇物理的安全管理措置
  ・個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないよ
   うな措置を講ずる。
  ・個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類
   等を、施錠できるキャビネット・書庫等に保管する。
  ・個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリテ
   ィワイヤー等により固定する。
  ・持ち運ぶ個人データの暗号化、パスワードによる保護等を行った上で電子媒体に保存する。
  ・個人データが記載された書類等を廃棄する場合、焼却、溶解、適切なシュレッダー処理等の復元
   不可能な手段を採用する。
  ・情報システム(パソコン等の機器を含む。)において、個人データを削除する場合、容易に復元
   できない手段を採用する。
  ・個人データが記録された機器、電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利
   用又は物理的な破壊等の手段を採用する。
 〇技術的安全管理措置
  ・個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データ
   への不要なアクセスを防止する。
  ・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報デー
   タベース等を取り扱う情報システムを使用する従業者を識別・認証する。
  ・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
  ・メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワード
   を設定する。

4 ②正確性確保義務、消去義務について
まず、個人情報取扱事業者は、個人データを正確かつ最新の内容に保つよう努めなければならないとされていますが(個人情報保護法22条)、あくまでもそれぞれの利用目的に応じて、必要な範囲内で正確・最新の内容に保てばよく、保有する個人データを一律に又は常に最新化する必要はありません。
また、保有する個人データについて利用する必要がなくなったとき(下記の場合等)は、当該個人データを遅滞なく消去するよう努めなければならないとされています(個人情報保護法22条)。なお、法令の定めにより保存期間等が定められている場合はこの限りではなく、同期間中個人データを保存しなければなりませんので、ご注意下さい。
・利用目的が達成され、当該目的との関係では当該個人データを保有する合理的な理由が存在しなくな
 った場合
・利用目的が達成されなかったものの、当該目的の前提となる事業自体が中止となった場合

弁護士 松田旬史