個人情報保護とデータ流出
今回は個人情報保護とデータ流出について説明していきます。
この文章を読むことで、「個人情報の概要」「個人情報の管理に関する義務・流出管理」について学ぶことができます。。
個人情報の保護
個人情報の保護は、消費者と直接やり取りを行い、個人情報を扱う事業者にとっては1つの大きなテーマです。
消費者の個人情報は、その属性や傾向を有効に活用することで会社の大きな財産となる反面、保護をおろそかにすると外部に流出することとなり、社会的にも大きな問題となってしまうためです。
特にB to Cで事業を行う会社にとっては、個人情報を取得し、それぞれの購入履歴や購入金額などを調べることによってどのような人がどのようなものを好むのか、今後どのような人に対してどのような物を売っていけばいいのかということが判断できるようになります。
例えば、スーパーなどの小売店は、かつてはただ「来た人に物を売る」というスタイルでした。
しかし昨今、特に大規模な小売店は、会員には購入に使える一定のポイントを付与するとして、自社あるいはグループの会員制システムに消費者を勧誘し、そこで個人情報を取得して会員カードを配布しています。
そして、購入時に会員カードを提示させることで、会員と商品を紐づけ、大規模に分析を行って商品開発につなげています。
これは、改めて調査を行わずして消費者の購買動向を把握できる大きな武器になっています。データを分析することにより、誰に何の商品を宣伝すればよいのかが見えてくるからです。
よって、必然的にそのようなシステムの下では個人情報が氾濫することとなり、流出するリスクも飛躍的に高まります。
個人情報の流出事故が絶えないのは、このように取得の規模が大量となり、かつデータ化されて容易に持ち運びできるようになったためです。
会社は数々の流出事故などと照らして、その膨大な個人情報をどう保護するかについて、十分検討し、絶対に流出がないようにしなければなりません。
そして社会的な影響力の大きさから、法律でも個人情報の保護について明確に定められています。
それが「個人情報の保護に関する法律(個人情報保護法)」です。
【例題】
スマートフォンのアプリ開発を基盤事業とするZ社の法務担当者であるS君は、会社の不正や事故に対して定められている法律について学んできました。
そしてふと、Z社がBtoC事業に参入する場合に気をつけなければならない事故について、一つの考えがよぎりました。
それは、消費者から預かった個人情報についてです。
BtoC事業を開始する場合、Z社は消費者の大量の個人情報を取得することになります。現時点ではその管理について、全社で取り扱いが共有されているとは言いがたい状況なのです。
もちろんZ社には個人情報の管理規定が存在します。
しかし、今後Z社が保有することになるのは、顧客である消費者の大量の情報です。それらの情報は決して流出させてはならないものです。
「有効利用の前に情報保存の方法を全社で共有しなくてはならない。」
S君はそう考えました。
【解説】
個人情報という言葉が社会に浸透していくにつれ、その重要性に関する理解度はかなり進んできていると言えます。
そして情報の取り扱いについても、慎重に慎重を期すという会社も多くなっています。
それ自体は社会の成熟度を示すものであり、大変喜ぶべきことです。
しかし、一方で個人情報にまったく無頓着で、ほとんど「管理していない」、あるいは情報を「保護」するのではなく「入手、あるいは提供しない」という方向に傾くケースもあるなど、極端な傾向も見られるようになってきています。
「ほとんど管理していない」会社に多いのは、例えば小規模な会社や大規模な会社の小さな営業所などです。
小規模な会社はそもそも会社全体に管理意識がないケースが多く、大規模な会社の小さな営業所では会社としての管理意識や規定はあるものの、徹底されていないケースが多いためです。
「入手、あるいは提供しない」とした代表的な例は、学校の連絡網です。
かつては連絡網は各クラスごとに作成され、プリントして配布されていましたが、個人情報保護法が成立してからはクラス全体の連絡網を作成していない学校が多数を占めるようになりました。
そして、知っているのは自分の連絡する生徒の番号だけ、あるいは連絡網は使わず、連絡はメールだけといった方法が取られるようになりました。
学生名簿は入手を狙う業者などが多数存在すると言われており、学校側の慎重な対応を当然と思う人もいます。
しかし、いざというときに連絡ができないなどの弊害や過剰な対応であるという声も多く、現在は作成を検討する学校も出てきています。
このように、個人情報の取り扱いは全体的な認知度は上がっているものの、個別のケースを見ると必ずしも認識が定まっているとは言えない側面もあります。
会社で消費者の個人情報を入手する場合は、やってはいけないこと、あるいはやるべきことを法律に即して理解することが必要となるでしょう。
個人情報とは
ではまず、そもそも個人情報とは何かを理解しましょう。
個人情報保護法では、個人情報を以下のように定義しています。
「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」
つまり、ある情報があり、その情報を閲覧することによってその情報の人物がはっきりと特定できるものです。
そして、AとBという情報があり、Aには連番が振られて氏名と年齢が記載されていたとします。これだけでは、本人を特定することはできません。
しかし、Bには住所と電話番号が記載されており、これもAと同様連番が振られているとします。AとBの番号が同じと考えられるとしたら、この2つの情報を照合することで、個人が特定できてしまいます。
この場合は、AとBは「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」となるので、これらを合わせると個人情報となります。
個人情報の種類
個人情報保護法では、個人情報を以下のように分類しています。
個人情報データベース等
「個人情報を含む情報の集合物」
「電子計算機を用いて検索することができるように体系的に構成したもの」
個人情報データベース等とは、個人情報をデータ化して検索できるようにしたものです。
例えばスキャナーと名刺管理ソフトなどを使ってパソコンに名刺を取り込み、ソフトでデータベース化して閲覧できるようにしたものは個人情報データベース等にあたります。
また、パソコンを使わなくても、自分でファイルに管理して五十音順に並べているものも個人情報データベース等にあたります。
その一方で、名刺をもらったものから順にファイルに入れていった場合は検索はできませんので個人情報データベース等にはあたりません。
個人データ
「個人情報データベース等を構成する個人情報」
個人データとは、個人情報データベース等の中に入っている個人情報です。
保有個人データ
「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」
「存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のもの」
保有個人データとは、会社が持っている個人情報のうち、会社が開示、内容の訂正、追加又は削除などの権限を持っている個人情報のことです。
そして、一定期間の保有を前提としているものです。
よって、例えば会社に対して嫌がらせの電話をかけてくる常習犯について、防犯のために会社がその常習犯の個人情報を保有していたとしても、それは保有個人データにはなりません。
それは「存否が明らかになることにより公益その他の利益が害されるもの」と考えられるためです。
あくまでも対象者に確認を取ったうえで会社が利用できる権限を与えられたものが個人データです。
個人情報取扱事業者
「個人情報データベース等を事業の用に供している者」
個人情報取扱事業者とは、個人情報データベース等を会社の事業に使用している事業者です。
しかし、国の機関、地方公共団体、独立行政法人、地方独立行政法人は除くとされています。
また、「個人情報によって識別される特定の個人の数の合計が過去六月以内のいずれの日においても五千を超えない者」についても、個人情報取扱事業者からは除かれます。
原則としては民間であり、一定期間かつ一定数の個人情報を持つ事業者が個人情報取扱事業者にあたるということです。
個人情報の利用に関する義務
個人情報取扱事業者は、以下について義務を課せられています。
・利用の目的をできる限り特定しなければならない
利用目的を特定する義務です。
例えば「購入商品の発送を行う目的」などです。
・特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない
利用目的を特定して収集した個人情報は、それ以外の目的に使用することはできません。
例えば、上記で「購入商品の発送を行う目的」とした会社がまったく別の会社に個人情報を提供し、その会社が自社サービスの勧誘を行うなどです。
このような行為は本来の利用目的とは異なるものであるため、必要な範囲を超えているとみなされます。
・偽りその他不正の手段により個人情報を取得してはならない
個人情報を収集する際は、適正な方法で取得しましょうということです。
例えば、本来必要がないのに必要であると嘘をついて個人情報を取得することは、この義務に反します。
・個人情報を取得した場合は、速やかにその利用目的を本人に通知し、又は公表しなければならない
個人情報を収集する際は、その利用目的を必ず通知しましょうということです。
ただし、あらかじめその利用目的が公表されている場合は、改めて通知する必要はないとされています。
・個人データを正確かつ最新の内容に保つよう努めなければならない
例えば引っ越しなどをすると、当然住所は変更となります。
その際、個人データも最新のものにしましょうということです。
金融機関などでは、個人情報に変更がないかどうかを定期的に利用者に確認する場合があります。
これは必要な郵便物が届かなくなるという事態を防ぐためということもありますが、最新のものとするという義務を守るためでもあります。
・あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない
個人情報は、あくまでも収集した会社が責任を持って保管しましょうということです。
勝手に第三者に提供してはいけません。
上記の「別会社に個人情報を提供し、その別会社がサービスの勧誘を行う」ということをした会社は、この義務にも違反していることになります。
なお、例えば個人情報の収集元が別会社に個人情報を提供し、その別会社がサービスの勧誘を行うということを適切に伝え、個人情報の提供者が明確に同意した場合は、この限りではありません。
・個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない
個人情報はセンシティブな情報だけに、その収集をめぐって提供者から苦情が来ることが多くなります。
よって、その苦情の処理について、適切な方法をとりましょうということです。
苦情窓口が整備されておらず、提供者がどこに問い合わせたらいいかわからないといった場合は、この義務に反することとなります。
個人情報の管理に関する義務
個人情報取扱事業者には、その管理についても義務が課せられています。
・安全管理措置を取ること
個人情報が漏えいしたり紛失したりすることがないように、適切に管理しましょうということです。
例えば誰でも安易にアクセスでき、かつデータを外部デバイスに簡単に保存できるような状態は安全管理措置が万全とは言えません。
・従業員や委託先を監督すること
いくら会社として安全管理を行っても、それを操作する立場の従業員にその認識がなければ、思わぬところから情報が漏えいしてしまう可能性があります。
また、委託先についても同様です。
個人情報の取り扱いを委託する際、例えば契約時にだけ安全管理体制を確認するのでは、その後仮に委託先でずさんな管理がされていたとしてもそれに気づかない可能性が高くなります。
よって、会社は継続的に従業員や委託先の個人情報保護に関する教育や監督を行わなければいけません。
なお、国の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、委託先の選定について以下の内容の実地検査等を行い、適切に評価することが望ましいとしています。
・組織的安全管理措置
組織体制や取扱状況を一覧できる手段の整備や規程等の整備と規程等に従った運用、安全管理措置の評価、見直し及び改善、事故又は違反が起きた場合の対処ができているか。
・人的安全管理措置
従業員との非開示契約の締結や従業者に対する内部規程等の周知・教育・訓練の実施などができているか。
・物理的安全管理措置
入退館管理や機器・装置等の物理的な保護ができているか。
・技術的安全管理措置
データへのアクセスにおける識別と認証、制御、権限の管理、記録、不正ソフトウェア対策、、データ移送・送信時の対策、情報システムの監視などができているか。
個人情報の流出管理
近年の個人情報が漏えいしたという事故は、そのほとんどがデータという形で発生しています。
個人情報を含め、会社の情報のほとんどがデータで保存されている今日では、これはある意味必然と言えるかもしれません。
情報流出には、事件として扱われる業員などによる意図的な流出と、ハッキングなど外部から技術的に侵入されて起きた流出、それに付随してウイルスが仕込まれた添付ファイルを開いて感染してしまったなどの人為的ミスによる流出とがあります。
このうち、圧倒的に多いものは人為的ミスによる流出だと言われています。
上記のウイルス感染以外にも、例えば情報を保存した暗号化されていないUSBメモリを紛失した、個人情報が記載されている添付ファイルを誤って送付すべきではない他社に送信してしまった、などのミスが考えられます。
また、データ以外でも、紙媒体に印刷して打ち合わせで使用した個人情報ファイルを電車に置き忘れてしまったといったミスもあります。
このような人為的なミスによる流出は、技術的に侵入されて起きた流出に比べると防ぎやすいと考えられます。
想定される様々なミスを検証し、社員教育を行ってできる限り発生しないように努めるのが会社の責務といえるでしょう。
まとめ
・個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」のことを言う。
・個人情報は、個人情報データベース等、個人データ、保有個人データという分類がされている。
・個人情報取扱事業者とは、国の機関、地方公共団体、独立行政法人、地方独立行政法人、小規模事業者を除き、「個人情報データベース等を事業の用に供している者」のことである。
・個人情報取扱事業者は、個人情報の取り扱いについて様々な義務が課せられている。
関連ページ
- 労働条件通知書のフォーマット
- 不動産賃貸借契約書の概要とつくり方
- ソフトウェア開発委託契約書のフォーマット
- 戦略法務とは
- 実用新案権の仕組みを理解する
- 弁護士を活用しよう
- 電子商取引と電子契約
- 契約書の重要条項とそのルール
- 債権管理と債権回収
- 代理店契約書の概要とつくり方
- 代理店契約書のフォーマット
- 暴力団対策法とは
- トラブル防止の心構え
- 倒産制度の仕組み(民事再生、破産、解散、清算)
- 契約書作成の基本
- ビジネス文章の書き方
- ビジネス法務(企業法務)とは
- ビジネス法務(企業法務)担当者の心構え
- 事業再編・M&Aの仕組み(合併、事業譲渡、会社分割)
- 民事訴訟というゲームのやり方
- 債権回収・訴訟・執行・保全をめぐる法務の全体像
- 継続的売買取引基本契約書の概要とつくり方
- 継続的売買取引基本契約書のフォーマット
- 契約書審査業務の手順
- 契約書でトラブルが起こりやすい箇所
- 企業不祥事と法令違反
- 不正への対処法
- 取締役の義務と責任
- 懲戒処分・解雇・退職勧告とそれらをめぐるトラブル
- 紛争処理法務とは
- 雇用契約書の概要とつくり方
- 雇用契約書のフォーマット
- 雇用関係をめぐる法務の全体像
- 株主代表訴訟と解任、違法行為差止め
- 契約書の重要条項とそのルール
- 株主総会の仕組みと運営(開催手続き、議決権、計算書類、事務処理)
- 契約書に必ず盛り込むべきこと
- 不正や事故をめぐる法務の全体像
- 知的財産権とは
- 消費者保護に関する法律
- 法定労働時間と変形労働時間
- 会社組織をめぐる法務の全体像
- 契約・商取引をめぐる法務の全体像
- 法務における交渉のやり方
- 法務部門の仕事内容と業務プロセス
- 職場のメンタルヘルス対策
- 合併契約書の概要とつくり方
- 合併契約書のフォーマット
- 金銭消費貸借契約書の概要とつくり方
- 金銭消費貸借契約書のフォーマット
- 秘密保持契約書の概要とつくり方
- 秘密保持契約書のフォーマット
- 公正証書の活用
- 業務委託契約書の概要とつくり方
- 業務委託契約書のフォーマット
- 業務委託契約書の概要とつくり方
- 残業をめぐるトラブル
- 特許権の仕組みを理解する
- 人事異動(配置転換・転勤・出向・転籍)
- 割増賃金とは
- 予防法務とは
- 個人情報保護とデータ流出
- 製造物責任法(PL法)とリコール
- 不動産賃貸借契約書のフォーマット
- 登記の仕組みと手続き
- 品質クレーム紛争の解決
- 労働組合への対応
- 契約書の役割と重要性
- 安全衛生管理とは
- 動産売買契約書の概要とつくり方
- 動産売買契約書のフォーマット
- 職場でのセクハラ・パワハラと企業の責任
- 株主代表訴訟と解任、違法行為差止め
- ソフトウェア開発委託契約書の概要とつくり方