個人情報保護法がすべての事業者に適用されてから久しいですが、いまだに適切な措置が講じられていない企業があることは事実です。
今回は、企業が個人情報を保管する際に実施すべき措置について、個人情報保護法に沿って解説します。
現在の体制に不安を抱いているという企業関係者の方は、ぜひ参考にしてください。
個人情報取り扱いに関するルールの整備
すべての事業者は、個人情報を保管するにあたって、まずルールを整備しなければいけません。
具体的には、取得、利用、保存などを行う場合のルールです。
また、方法としては、既存の業務マニュアルやフローチャートなどに、個人情報取り扱いの項目を設ける方法などが挙げられます。
組織的な安全管理措置
組織的な安全管理措置とは、個人情報を安全に保管するために、組織単位で講じる具体的な措置を指しています。
具体的には、以下のような措置です。
・組織体制を整備する(個人情報取り扱いにおける責任者、その他の従業員の区分など)
・個人情報の取り扱い状況確認手段を整備する
・漏えいなどの事故に対応する体制を整備する(従業員から責任者への報告・連絡体制を整備するなど)
・個人情報の取り扱い状況の把握、管理措置の見直し
人的な安全管理措置
人的な安全管理措置とは、具体的には“従業員の教育”を指しています。
例えば、個人情報の取り扱いに関する留意事項に関しては、必ず従業員に周知させなければいけません。
もちろん、こちらの研修は定期的に実施する必要があります。
また、個人情報の秘密保持に関する事項も、就業規則等に盛り込むようにしましょう。
物理的な安全管理措置
物理的な安全管理措置とは、文字通り個人情報の窃取や紛失などが発生しないよう、物理的に講じる措置のことをいいます。
具体的には、以下のような措置を指しています。
・個人情報の取り扱う区域を管理する(個人情報を取り扱える責任者や従業員以外が、簡単に閲覧・操作等をできないような措置を取るなど)
・デバイス等の盗難防止対策を取る(パソコン等を施錠できるキャビネット等で保管するなど)
・デバイス等を持ち運ぶ場合の個人情報漏えいを防止する(デバイス等のパスワード設定など)
・個人情報およびデバイス等を適切な手順で廃棄する(書類をシュレッダーにかける、デバイスにおけるデータ削除ソフトの利用、物理的な破壊など)
技術的な安全管理措置
技術的な安全管理措置とは、電子的な技術を用いて個人情報を守るための措置を指します。
具体的には、以下のような措置が該当します。
・アクセス制御(個人情報を含むデバイスおよび個人情報を取り扱う責任者や従業員を明確化し、個人情報への不要なアクセスを制御するなど)
・アクセス権限者の識別、認証(デバイスに標準装備されているユーザーアカウント制御機能により、個人情報データベース等を取り扱う情報システムを使用する従業員を識別・認証するなど)
・外部からの不正アクセスを防止する(個人情報を取り扱うデバイスにセキュリティ対策ソフトウェアを導入し、常に最新状態にアップデートするなど)
・情報システム使用に伴う個人情報漏えいを防止する(メール等によって個人情報が含まれるファイルを送信する際、当該ファイルにパスワードを設定するなど)
措置が適切でない企業が受ける罰則とは?
企業における個人情報保護法遵守の状況は、個人情報保護委員会が監督します。
個人情報保護委員会とは、個人情報の有用性に配慮しつつ、その適正な取り扱いを確保するために設置された、独立性の高い機関を指します。
もし、企業が前述した個人情報の保管を含む措置を適切に行っていなかったら、実態に応じて個人情報保護委員会から指導、助言、勧告、命令が行われる可能性があるため、適宜改善しなければいけません。
また、それでも違反などが発覚した場合は、以下のような罰則を受けることになるため、注意しなければいけません。
・国からの命令に違反した場合:6ヶ月以下の懲役または30万円以下の罰金
・虚偽の報告をした場合:30万円以下の罰金
・従業員が不正な利益を図る目的で個人情報データベース等を提供、盗用した場合:1年以下の懲役または50万円以下の罰金(法人にも罰金)
企業はJAPHICマークの取得を目指そう
企業は個人情報の保管等を徹底し、最終的には“JAPHICマーク”の取得を目指しましょう。
こちらは、個人情報保護法および“個人情報の保護に関する法律についてのガイドライン”に準拠し、個人情報の適切な保護措置を講ずる体制を整備、運用している事業者を審査して、マークの使用を認めるというものです。
マークを取得することで、顧客や取引先など、多方面に企業の安全性をアピールできます。
まとめ
ここまで、企業が個人情報を保管する際、実施しなければいけない措置について解説しましたが、いかがでしたでしょうか?
企業が一丸となり、個人情報の正しい取り扱い方法や紛失、漏えい時のダメージについて把握すれば、おのずと適切な体制は出来上がります。
また、そうなればJAPHICマークの取得もかなり身近な目標となるでしょう。
