*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています(2022年5月16日追記)。
中小企業に求められる「安全管理措置」
個人情報保護法23条は、個人データの漏えい、滅失等を防止するため、安全管理措置をとるべきことを定めています。この措置をとるべきこととされているのは個人情報取扱事業者ですが、この個人情報取扱事業者には、規模に関わらず個人データを扱うあらゆる事業者が含まれます。したがって、中小企業でも安全管理措置を行わなければなりません。もっとも、取るべき安全措置の内容は、大企業と比べるとおのずと異なってきます。
「安全管理措置」の具体的内容
個人情報の保護に関する法律についてのガイドライン(通則編)「10(別添)講ずべき安全管理措置の内容」によれば、安全管理措置は、大きく分けて以下の7つに分けられます。
①基本方針の策定
②個人データの取扱いに係る規律の整備
③組織的安全管理措置
④人的安全管理措置
⑤物理的安全管理措置
⑥技術的安全管理措置
⑦外的環境の把握
これについては同ガイドライン上で、中小規模事業者(*1)が取るべき具体的手法が例示されています。それぞれ以下の通りです。
【基本方針の策定】
ex.「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等の項目を設けた基本方針の策定
【個人データの取扱いに係る規律の整備】
ex.個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。
【組織的安全管理措置】
ⅰ.組織体制の設備
ex.個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区別する。
ⅱ.個人データの取扱いに係る規律に従った運用及び
ⅲ.個人データの取扱い状況を確認する手段の整備
ex.あらかじめ整備された基本的な取り扱い方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
ⅳ.漏えい等の事案に対応する対応の整備
ex.漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。
ⅴ.取扱状況の把握及び安産管理措置の見直し
ex.責任ある立場の者が、個人データの取扱い状況について、定期的に点検を行う。
【人的安全管理措置】
従業員の教育
ex.個人データの取扱いに関する留意事項について、従業員に定期的な研修等を行う。
個人データについての秘密保持に関する事項を就業規則等に盛り込む。
【物理的安全管理措置】
ⅰ.個人データを取り扱う区域の監理
ex.個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。
ⅱ.機器及び電子媒体等の盗難の防止
ex.個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。
個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。
ⅲ.電子媒体等を持ち運ぶ場合の漏えい等の防止
ex.個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難を防ぐための安全な方策を講ずる。
ⅳ.個人データの削除及び機器、電子媒体等の破棄
ex.個人データを削除し、又は、個人データが記録された機器、電子媒体等を破棄したことを、責任ある立場の者が確認する。
【技術的安全管理措置】
ⅰ.アクセス制御
ex.個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。
ⅱ.アクセス者の識別と認証
ex.機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
ⅲ.外部からの不正アクセスの防止
ex.個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新の状態にする。
ⅳ.情報システムの使用に伴う漏えい等の防止
ex.メール等により個人データの含まれるファイルを送信する場合に当該ファイルへのパスワードを設定する。
【外的環境の把握】
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
*1 従業員の数が100人以下の事業者であって、かつ、取り扱う個人情報の数が5000人分越えるか又は委託に基づいて個人データを取り扱う者でない事業者を指します。
おわりに
マイナンバー法が導入された際は、マイナンバーを扱わないことによってマイナンバー法の規制を受けないようにした事業者も少なくなかったものと思います。しかし、これと異なり個人情報は個人に関する多様な情報を含むものであるため、情報自体を扱わない等によって義務を回避することは非常に困難です。事業者としては、ガイドラインを活用し、もっとも取り組みやすい方法を検討しておくことが重要です。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。