当機構では、事業者の皆様から「個人情報保護法では、漏えい等の対策は、どんなことをどこまでやらないといけないとされているのか？」といったご質問をいただくことが多々ございます。

結論からお伝えしますと、個人情報保護法では、あらゆる事業者に対して一律で細かく具体的な対策を義務づけているわけではありません。

本ブログでは、個人情報保護法における個人データの安全管理措置の考え方をご説明いたします。

ただし漏えい等の事故が発生したら事業経営に甚大な影響が生じる可能性があるため、法令遵守の観点だけではなく、経営上のリスクマネジメントの観点からも考慮する必要がある点には十分ご留意いただければと思います。

※本ブログでは個人情報保護法の第23条（安全管理措置）及びガイドライン別添　講ずべき安全管理措置の内容の考え方についてご説明いたします。安全管理措置の詳細につきましては当機構無料WEBセミナーにてご説明しておりますのでお気軽にご利用ください。

法律で必要な措置を一律に規定することは困難

個人情報保護法上の義務は、基本的に事業者の規模等によって区別されてはいません。

一方で、個人情報の漏えい等のリスクは、例えば、100万人分の情報を取り扱っている大企業と、500人分の情報しか取り扱っていない中小企業とでは大きく変わってきます。また、要配慮情報やクレジットカード情報、収入に関わる情報を取り扱っているかどうか等によってもリスクは異なります。

そのため漏えい等を防ぐための安全管理措置については、個人情報保護法において一律に具体的な対応を細かく規定することは困難です。

「講ずべき措置」と「具体的な手法の例示」

安全管理措置については、個人情報保護法のガイドラインの別添「講ずべき安全管理措置の内容」を確認する必要があります。

そちらでは

「事業者が具体的に講じなければならない措置」（以下、「措置」と表記）や

「それらの措置を実践するための具体的な手法」（以下、「手法」と表記）の例が示されています。

「措置」の一覧は以下の通りとなります。

「手法」の例も、別途、それぞれの措置ごとに示されています。

1.  基本方針の策定

2. 個人データの取扱いに係る規律の整備

3. 組織的安全管理措置

　（1）組織体制の整備

　（2）個人データの取扱いに係る規律に従った運用

　（3）個人データの取扱状況を確認する手段の整備

　（4）漏えい等事案に対応する体制の整備

　（5）取扱状況の把握及び安全管理措置の見直し

4. 人的安全管理措置

　　〇  従業者の教育

5. 物理的安全管理措置

　（1）個人データを取り扱う区域の管理

　（2）機器及び電子媒体等の盗難等の防止

　（3）電子媒体等を持ち運ぶ場合の漏えい等の防止

　（4）個人データの削除及び機器、電子媒体等の廃棄

6. 技術的安全管理措置

　（1）アクセス制御

　（2）アクセス者の識別と認証

　（3）外部からの不正アクセス等の防止

　（4）情報システムの使用に伴う漏えい等の防止

7. 外的環境の把握

「手法」については事業者ごとに判断が必要

上記の「措置」は、個人情報を取り扱う事業者であれば講じる必要があります。

ただ、「措置」を講じるための「手法」については、個人データが漏えい等した場合に被害にあう人々が被る権利等の侵害の大きさを考慮し、事業者ごとのリスクに応じて必要かつ適切な内容とするべきとされています。

そのため、例示されている「手法」の内容の全てを必ず講じなければならないわけではなく、また、適切な手法はこれらの例示の内容に限られません。

また、中小規模事業者については、組織の規模等によるリスクの違いを踏まえて、別途、手法の例が示されています。

※ただし個人情報保護法での中小規模事業者の定義は一般的な定義とやや異なるため注意が必要です。

　従業員の数が100人以下の個人情報取扱事業者とされますが、以下は除外されます。

　・その事業の用に供する個人情報データベース等を構成する個人情報によって

　　識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者

　・委託を受けて個人データを取り扱う者

事業者によって「手法」が異なることの例

上記の「措置」のうち、3. 組織的安全管理措置 – （1）組織体制の整備における「手法」の例示は以下の通りです。

■手法の例示

（組織体制として整備する項目の例）

　・個人データの取扱いに関する責任者の設置及び責任の明確化

　・個人データを取り扱う従業者及びその役割の明確化

　・上記の従業者が取り扱う個人データの範囲の明確化

　・法や個人情報取扱事業者において整備されている個人データの取扱いに係る規律に

　　違反している事実又は兆候を把握した場合の責任者への報告連絡体制

　・個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制

　・個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任の明確化

■中小規模事業者における手法の例示

・個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。

こちらの組織体制の整備を参考としまして、以下に、組織の規模によって「手法」が異なってくる例をご紹介します。

以下の図のように、会員制のWEBサービスを開発、運営していて、企業からの広告掲載で売上を立てている企業が2社あるとします。

A社は社員200名で、代表以下、管理部、営業部、開発部に組織が分かれています。管理部には人事情報データベースがあり、営業部には取引先データベースがあり、開発部には会員データベースがあります。

B社はまだ社員が10名と少なく、組織は分かれてはいません。データベースとしては、人事情報データベースと、取引先と会員情報をまとめたデータベースがあります。

こういった場合に組織体制を整備するための手法を簡単にシミュレーションしてみます。

まず第一に組織内に個人情報の取扱いについての責任者を定める必要があります。

B社は代表を責任者とすれば問題ないかと思います。

A社は代表一人だけでは組織全体を見るのは難しいので、代表をトップとして、３つの部にそれぞれ責任者を設置します。

次に、あらゆる社員が自由に各データベースを扱えてはいけませんので、扱える社員を限定します。

B社では、人事DBには代表だけがアクセスできるというルールを定めます。

A社では人事DBには管理部だけが、取引先データベースには営業部だけが、会員データベースには開発部だけがアクセスできるルールとします。

規律に違反している事実やその兆候、漏えい等事案の発生や兆候を把握した場合の連絡体制を整備します。

B社は責任者が一人だけで社員の距離も近いので、責任者に報告するということを確認しておけば足りるかと思います。

A社では、各部の責任者に報告し、各部の責任者からトップの責任者へ報告するというルールを整備します。

ごく簡単な例でしたが、以上のように、「組織体制の整備」と一口で言っても、組織の規模などによって講ずべき「手法」が異なってまいります。

リスク管理の観点の重要性

本ブログでは簡単に個人情報保護法における安全管理措置の考え方についてご説明させていただきました。

繰り返しにはなりますが、漏えい等の対策については法令遵守の観点だけではなく、経営上のリスクマネジメントの観点でも考慮する必要がある点には十分ご留意いただければと思います。

なお、安全管理措置の詳細につきましては当機構無料WEBセミナーにてご説明しておりますのでお気軽にご利用ください。