消費者と事業者の信頼の中心に
2021年5月18日
「個人情報を取り扱うことになったがどんな漏えい対策をするべきかわからない」
「詳しい者が社内にいないので漏えい対策が適切に実施できているか確認できない」
中小事業者の皆さまとお話をしている中で、このような声を聞くことが多々あります。
個人情報漏えい対策として確認するべき範囲は広く、
また具体的にどこまでの措置を実施するべきかは事業者ごとに検討する必要があります。
どのレベルまで対策をするべきか、悩まれる事業者も多いようです。
今回は、中小事業者が個人情報漏えい対策を実施する上で参照するべき基準と、
そこで紹介されている対策の例をご紹介します。
※従業員100名以下の事業者様を対象としております。
※個人情報の取り扱いに際しては情報の取得時等にも様々なルールがありますが
今回は取得した情報の漏えいを防ぐための安全管理措置のみを対象としております。
漏えい対策を手厚く実施すればリスクを低下させることができますが、
個人情報の漏えいを100%防ぐことは不可能です。
漏えい対策をどこまで実施するのかは、各事業者ごとに
リスクとコストのバランスを鑑みて判断することになります。
その際、どのレベルまで対策するべきかは、基準に照らし合わせて
検討することになります。代表的な基準は下記の2つが考えられます。
1.個人情報の保護に関する法律についてのガイドライン
(別添)講ずべき安全管理措置の内容
個人情報保護法で事業者の義務として定められている安全管理措置と
それを実践するための手法が例示されています。
2.JIS Q 15001 個人情報保護マネジメントシステム-要求事項
個人情報保護第三者認証マークであるプライバシーマークが準拠する基準です
2.にあげたJIS Q 15001の方がよりレベルが高い基準になります。
今回は中小事業者様、ベンチャー企業様が最初に確認するべき基準として、
1の個人情報保護法 ガイドラインの別添をベースにして
事業者の義務である安全管理措置と、それを実践するための手法の例をご紹介します。
安全管理措置は法律で定められた事業者の義務になりますので、最低限でも
この内容を把握した上でどう対応するのかを判断しなければなりません。
※情報セキュリティという観点では、上記の他、
JIS Q 27001 情報セキュリティマネジメントシステム-要求事項 等の基準もあります。
実施するべき対策を検討する前に、まずは組織で取得する個人情報の
取得経路や情報の種類(氏名、住所、生年月日、あるいはカード情報等)、
おおよその件数、そしてそれらを取り扱う社員を確認することをおすすめいたします。
事業運営にかけられるリソースが限られている中、
リスクとコストを天秤にかけて、多くの個人情報を取り扱う部署のみ
対策を厚くするといった判断も必要になるかもしれません。
安全管理措置を実践する手法については、個人データ漏えいのリスクの大きさを
事業者ごとに考慮した上で、各事業者によって適切な内容とすべきとされています。
下記に紹介する各安全管理措置において例示する手法は、必ずしもそれらのすべてを
実施しなければならないわけではなく、また例示した内容に限られることもありません。
まずは個人情報の適正な取扱いに組織として取り組むために、
「基本方針の策定」及び「個人データの取扱いに係る規律の整備」が必要です。
個人データの取得、利用、保存等を行う場合の基本的な取扱方法を
整備しなければなりません。
安全管理措置は次の4つに分類されます。
各安全管理措置と、それを実践する手法の例について下記にご紹介します。
安全管理措置を実施するための組織体制を整備しなければなりません。
手法の例:
個人データを取り扱う従業者が複数いる場合、責任者と作業者を区分する。
あらかじめ整備された個人データの取扱いに係る規律に従って
個人データを取り扱わなければなりません。また取扱状況を
確認するための手段を整備しなければなりません。
手法の例:
あらかじめ定めた責任者が確認を担当する。
漏えい等の事案の発生又は兆候を把握した場合に
適切かつ迅速に対応するための体制を整備しなければなりません。
手法の例:
従業者から責任者への報告連絡体制等をあらかじめ確認する。
個人データの取扱状況を把握し、安全管理措置の
評価、見直し、改善に取り組まなければなりません。
手法の例:
責任者が定期的に点検を行う。
従業員を教育し、また監督しなければなりません。
従業者に個人情報の適正な取扱いを周知徹底し適切な教育を行わなければ
なりません。
手法の例:
・個人情報の取扱いに関する留意事項について定期的な研修等を行う。
・個人情報についての秘密保持に関する事項を就業規則等に盛り込む。
個人情報のデータベース等を取り扱うサーバ等を管理する区域(管理区域)と
その他の個人データを取り扱う事務を実施する区域(取扱区域)を区別し、
それぞれで適切な管理を行わなければなりません。
手法の例:
個人情報を取り扱う従業者以外が、容易に個人情報の閲覧等が
できないようにする。
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を
防止するために、適切な管理を行わなければなりません。
手法の例:
個人情報が入力されたPCやUSB、書類等は施錠できるキャビネットに
保管する。
個人情報が記録された電子媒体又は書類等を持ち運ぶ場合に
個人情報が漏えいしないよう、安全な方策を講じなければなりません。
手法の例:
PCやUSBへのパスワードの設定、封筒に封入し鞄に入れて搬送する。
個人データを削除又は個人データが記録された機器等を廃棄する場合は
復元不可能な手段で行わなければなりません。また確実に廃棄されたことを
確認することも重要です(委託先に任せた場合は証明書を発行してもらう等)
手法の例:
責任者が廃棄されたことを確認する。
ITシステムを使用して個人情報を取り扱う場合、それらに関する安全管理措置を
施す必要があります。
担当者及び取り扱う個人情報データベース等の範囲を限定するために、
適切なアクセス制御を行わなければなりません。
手法の例:
個人情報を取り扱いが可能な端末等を取り扱う従業者を明確化し、
他の従業員からのアクセスを防止する。
個人データを取り扱う情報システムを使用する従業者が
正当なアクセス権を有する者であることを認証しなければなりません。
手法の例:
パソコン等の端末に標準で装備されているユーザーアカウント制御の機能を
利用する(パスワードによる認証、二段階認証等)。
個人情報を取り扱う情報システムを外部からの不正アクセス等から保護する
仕組みを導入し、適切に運用しなければなりません。
手法の例:
・OS等を常に最新版にアップデートする。
・セキュリティ対策ソフトウェア等を導入し常に最新版にアップデートする。
情報システムの使用に伴う情報の漏えい等を防止するための措置を講じ、
適切に運用しなければなりません。
手法の例:
メール等で個人情報を含むファイルを送信する場合にパスワードを設定する。
※上記ご紹介した内容は、ガイドライン別添において従業員の数が
100人以下の事業者を想定して記載された内容をベースにしています。
(委託を受けて個人情報を取り扱う事業者様は例外となります)
該当しない事業者様はガイドライン別添のご確認をおすすめいたします。
上記、安全管理措置とその手法の例をご紹介いたしました。
しかし個人情報を適切に利用し、保護するためには安全管理措置を
実施するだけでは不十分です。
個人情報の取得時には定められたルールを守る必要がありますし、
個人情報を預けた本人からの開示・訂正等・利用停止等への対応、
個人情報を他社へ提供したり、共同で利用したり、委託したりする場合の義務等、
確認するべき内容は多岐にわたります。
当機構では個人情報保護第三者認証マーク「TRUSTe(トラストイー)」の
審査、認証付与活動を行っております。
WEBサイト/アプリ向けの認証ですが審査の際に組織全体の個人情報保護管理の
体制についても確認をするため、対応に漏れがないかを第三者の視点から
確認することが可能です。
また、他の第三者認証マークと比べて合理的で比較的低コスト、短期間で審査が
可能となっております。
ご興味をお持ちいただけましたらどうぞお気軽にお問い合わせください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。