情報技術の進歩に伴い、さまざまな情報をデジタルデータとして収集、蓄積、管理、加工し、ネットワークや記憶メディアを通じてやり取りすることが容易になっています。
しかし、その反面、個人情報保護の難易度はますます高くなっています。
今回は、企業における個人情報の取り扱いや管理、漏えい対策の疑問を解決します。
個人情報の取り扱い件数が少なくても、個人情報取扱事業者に該当する?
個人情報データベース等を事業の用に供している場合、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数が多い、少ないに関わらず、個人情報取扱事業者に該当します。
平成29年5月30日以前においては、5,000人以下の個人情報しか取り扱っていない事業者は、個人情報取扱事業者から除外されていました。
そのため、いまだに個人情報の取り扱い件数が少ない事業者は、個人情報取扱事業者には該当しないと考えている方もいるかもしれませんが、こちらは間違いであるため、注意してください。
ちなみに、顧客情報を一切保有せず、取り扱っている個人情報が従業員のものだけであったとしても、個人情報データベース等を事業の用に供している場合は、個人情報取扱事業者となります。
個人情報の利用目的の「できる限り特定する」とは?
個人情報取扱事業者は、個人情報保護法のルールに従い、個人情報の利用目的をできる限り特定しなければならないことが定められています。
ここでいう「できる限り特定する」とは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて、一般的かつ合理的に予測、想定できる程度に、利用目的を特定することを指しています。
そのため、特定される利用目的は、具体的で個人情報の対象者にとってわかりやすいものであることが望ましいです。
例えば、「お客様のサービスの向上」のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと判断されます。
個人情報保護の対象となる複数の本人の記録を一体として作成することはできる?
個人情報の対象となる複数の本人の記録を、一体として作成すること自体は問題ありません。
逆に、個々にそれぞれ作成していると、膨大な時間と手間がかかってしまいます。
ただし、こちらの記録における保存期間については、個々の個人ごとに計算しなければいけません。
例えば、個人情報保護法施行規則第12条第2項、第16条第2項に基づく記録を作成した場合には、個々の個人ごとに最後に当該記録に係る個人データの提供を行った日から起算して、3年を経過する日までの間が保存期間となります。
個人情報漏えい時、報告を行う「責任のある立場の者」とは?
企業において個人情報の漏えいが発生した場合には、企業内部における報告、被害の拡大防止に努めなければいけません。
また、このとき報告を行う人物として、「責任のある立場の者」というものが定義されていますが、こちらの役職は特に限定されていません。
つまり、その企業が定めている人物であれば、特定部署内のリーダーであっても、代表取締役であっても問題ないということです。
ただし、個人情報漏えい時の報告をスムーズに行うためには、あらかじめ取扱規程等により、番号法違反または番号法違反のおそれのある事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておかなければいけません。
個人情報漏えい時の「把握した事実関係による影響の範囲を特定する」とは?
企業において個人情報の漏えいが発生したとき、企業は把握した事実関係による影響の範囲を特定し、対処しなければいけません。
また、ここでいう「把握した事実関係による影響の範囲を特定する」の定義は、事案の内容によって異なります。
わかりやすい例でいうと、漏えいした特定個人情報の本人の数、漏えいした情報の内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが挙げられます。
これらを特定しなければ、企業が行う対処は不完全なものになってしまい、二次被害が発生する可能性も高くなります。
ちなみに、影響を受ける可能性のある本人に連絡する場合は、その情報を本人が容易に知り得る状態に置かなければいけません。
例えば、本人がアクセス(ログイン)できるホームページにプレスリリースを掲載したり、専用窓口を設置して直接個人情報の対象となる本人に対応したりすることなどが挙げられます。
まとめ
ここまで、企業における個人情報の取り扱いや管理、漏えい対策の疑問をいくつか解決してきましたが、いかがでしたでしょうか?
個人情報保護に関する複雑なルールを理解したい企業は、JAPHICマークの取得を目指しましょう。
JAPHICマークは、適切な個人情報保護措置を講ずる体制を整備、運用している企業に発行されるものであり、こちらの取得を目指すことで、企業は必然的に正確な個人情報保護に関するルールを把握できます。