個人情報取得後の管理についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策⑥】

個人情報管理

 さて、今回も個人情報保護法について(個人情報保護法の記事一覧)です。今回は、「個人情報取扱業者」が守るべき5つの事項についての4つ目の個人情報取得後の管理のルールについてです。
 
 
 
 

1 個人情報管理についての基本ルール

 まず、個人情報保護法の概要に関する記事の復習になりますが、個人情報管理についての基本ルールは

① 正確かつ最新の内容に保つように努めること(個人情報保護法19条)
② 安全管理のために必要な措置を講じること(個人情報保護法20条)
③ (当該個人情報を扱う)従業員や委託先に対して監督を行うこと(個人情報保護法21条、22条)

になります。
 以下、具体的にこの3つのルールを見ていきましょう。

2 ①正確かつ最新の内容に保つように努めること(個人情報保護法19条)

 「個人情報取扱事業者」は、その情報内容の正確性を入力、訂正、変更等の過程でチェックをしたり、期間毎に必要な範囲で更新するように努めなければなりません。
 ただし、「個人情報取扱事業者」が取得した情報がもともと正確なものとは限らないため、それぞれの特定された利用目的に応じて必要な範囲で正確性・最新性を確保すれば足りるとされています。

3 ②安全管理のために必要な措置を講じること(個人情報保護法20条)

 「個人情報取扱事業者」は、個人情報の漏えい、滅失、毀損の防止等の安全管理のために必要かつ適切な措置を講じなければならいとされています。個人情報保護法自体には、「安全管理のために必要かつ適切な措置を講じなければならない」と抽象的に定めらていますが、

ⅰ 組織構成についての措置
ⅱ 人的な管理について措置 
ⅲ 物理的な管理についての措置 
ⅳ 技術的な管理についての措置

によるシステム構築が求められます。
 例えば、入室管理(物理的な措置)がなされていない部屋に個人情報データの入ったPCが置いてあり、パスワード等の入力なしに個人データを見ることができるような状況では、権限のない人が勝手に個人情報を扱うことができるし、その操作を後から追跡等をすることも難しいので、安全管理義務違反となります。
 以下、ⅰ~ⅳの措置をもう少し具体的に見ていきましょう。

3.1 組織としての管理体制の整備

 これは、個人情報の安全管理について従業者の責任と権限を明確に定め、安全管理に対する基本方針規程や手順書を整備・運用し、その実施状況を確認することをいいいます。具体的に経済産業分野についてのガイドラインでは、

〇個人データの安全管理措置を講じるための組織体制の整備
〇個人データの安全管理措置を定める規程等の整備と規程等に従った運用
〇個人データの取扱状況を一覧できる手段の整備
〇個人データの安全管理措置の評価、見直し及び改善
〇事故又は違反への対処

を講じなければならないとしています。

3.2 人的な管理体制の整備

これは、従業員(派遣社員や業務委託先を含む)と守秘義務契約を結び、さらに教育・訓練等を行うことをいいます。
弁護士等の外部講師による講習を受講させたりすることも大事です。

3.3 物理的な管理体制の整備

 これは、入退館(室)の管理、個人データの盗難の防止等の措置をいいます。
具体的には、

〇入退館(室)管理の実施
〇盗難等の防止
〇機器・装置等の物理的な保護

が必要です。
 具体的には、個人情報を扱う情報システムを入室管理されている部屋に設置し、盗難防止のためにパスワード付きスクリーンセーバーにし、漏水等を防止する措置をとること等が考えられます。

3.4 技術的な管理体制の整備

 これは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいいます。
 具体的には、

〇個人データへのアクセスにおける識別と認証
〇個人データへのアクセス制御
〇個人データへのアクセス権限の管理
〇個人データのアクセスの記録
〇個人データを取り扱う情報システムについての不正ソフトウェア対策
〇個人データの移送・送信時の対策
〇個人データを取り扱う情報システムの動作確認時の対策
〇個人データを取り扱う情報システムの監視

を講じる必要があります。

4 ③(当該個人情報を扱う)従業員や委託先に対して監督を行うこと(個人情報保護法21条、22条)

 個人情報保護法は、「3」の安全管理義務と併せて、「個人情報取扱事業者」の従業者および委託先についての監督義務を課しています。

4.1 「従業者」に対する監督

 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認をする等の措置を講じる必要があります。
 なお、「従業者」とは、雇用関係にある従業員(正社員、契約社員、嘱託社員、パートさん、アルバイト等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれるので注意してください。

4.2 「委託先」に対する監督

 前回の記事の「3.1」でもあげた通り、データ処理等を外注する場合には、「第三者提供」について、本人(お客さん)の同意を得る必要はありません。その代わりに、「個人情報取扱事業者」は、委託先を監督する必要があります。
 もし、委託先がミスで情報漏洩をしてしまった場合には、そのミスは、「個人情報取扱事業者」のミスと判断されてしまいますので、要注意です。

5 まとめ

 ネット社会の広がりで、日本国内においてももちろん世界各国で、現在個人情報の管理については、厳しい目が向けられています。事業を守るために個人情報の管理は、必須のこととなってきています。是非、この記事を参考にして頂ければと思います。

 

  • このエントリーをはてなブックマークに追加

永吉 啓一郎ピクト法律事務所代表弁護士

投稿者プロフィール

自らもECサイトや新規事業(税務調査士認定制度等)の立上げや運営を行ってきた弁護士。
多くのベンチャー企業や新規ビジネスの立上げ等について、法律的なアドバイスのみでなく「パートナー」としてかかわっている。
得意分野は、ECサイトやIT関連企業を初めとして企業法務と税法

ピクト法律事務所

この著者の最新の記事

関連記事

コメントは利用できません。

運営者情報

お気軽にお問い合わせ下さい

ページ上部へ戻る