<ポイント>
◆個人情報の提供元の入手経緯を確認することが望ましい
◆個人情報保護管理者(CPO)として役員を任命するのが望ましい
◆委託先を適切に評価して選定し、定期的に監査を行うことが望ましい
ベネッセコーポレーションで、大量の顧客情報が漏えいした問題を受け、経済産業省は昨年12月、個人情報保護法についての経済産業分野を対象とするガイドラインを改正したことを発表しました。主な改正内容のポイントを見ていきます。
まず、個人情報保護法は、個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない(17条)と定めています。
この関係でガイドラインは、第三者からの提供により個人情報を取得する場合には、提供元の法の遵守状況を確認し、個人情報を適切に管理している者を提供元として選定することが望ましいと追記しました。
それとともに、実際に個人情報を取得する際には、例えば、提供元の入手経緯を示す契約書等を点検するなどして確認した上で、もし提供元が当該個人情報を適法に取得されたことが確認できないときには、不正取得の可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい、と追記しました。
つまり、個人情報の取得に際しては、提供元の法の順守状況や、当該個人情報の入手経緯を確認するのが望ましいとしています。
ベネッセの漏えい事件で、顧客情報の提供を受けた側が、「不正に取得されたものとは知らなかった」として、被害が広がっていったことを受けた措置と考えられます。
また、個人情報保護法は、個人情報取扱事業者は個人データの安全管理のために必要かつ適切な措置を講じなければならない(20条)と定めています。
ガイドラインは、組織体制の整備を実践するために望まれる手法として、個人データの安全管理の実施運用に関する責任及び権限を有する「個人情報保護管理者」(いわゆるチーフ・プライバシー・オフィサー(CPO)を設置して、原則として役員を任命することを新たに列挙しました。
また、個人データの取扱いを総括する部署の設置、CPOが責任者となって社内の個人データの取扱いを監督する「管理委員会」の設置が望まれるとしました。
さらには、監査実施体制の整備として望まれることを具体化しました。つまり、個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者が社内の対応を確認すること(必要に応じ、外部の知見を有する者を活用し確認することを含む)などの方法が望まれるとしました。
個人データの取扱いに関する規程等に記載することが望まれる事項の例として、個人データの取得・入力、及び利用・加工の場面で、個人データを入力等する端末へのスマートフォン、パソコン等の機器の接続を制限し、かつ、外部記録媒体やこれら機器の更新に対応することを明確にし、実施されることが望まれるとしています。
ベネッセ事件での不正持ち出しの態様に着目してのことと考えられます。
入退館(室)の管理を実践するため、「入退館(室)の記録」が望まれる手法の例示として明記されました。
また、盗難等の防止を実践するため、入退館(室)の際における業務上許可を得ていない記録機能を持つ媒体及び機器の持ち込み・持ち出しの禁止と検査の実施、また、カメラによる撮影や作業への立ち会い等による記録またはモニタリングの実施、が望まれる手法の例示として追記されました。
これらもベネッセ事件の不正持ち出しの態様を踏まえてのものでしょう。
その他、事業者のセキュリティ対策を強化する観点から、個人データへのアクセスにおける識別と認証、アクセス制御、アクセス権限の管理、アクセスの記録、不正ソフトウエア対策、情報システムの監視などの項目について、より詳細な手法の例示が追記されています。
そして、個人データ取扱いの委託先の監督(個人情報保護法22条)に関して、ガイドラインは、委託先の選定に当たって、同法20条が求める安全管理措置が同等に実施されることを確認するため、委託先の社内体制、規程等を確認し、必要に応じて実地検査等を行った上で、個人情報保護管理者(CPO)等が適切に評価することが望ましいとしました。
また、選定時のみならず、委託先における個人データの取扱い状況を把握するために、定期的に、監査を行うなどして、委託契約の内容の実施の程度を調査したうえで、個人情報保護管理者(CPO)等が、適切に評価することが望ましいとしました。
再委託に関しても、委託先から、再委託する業務内容や、再委託先での取扱い方法等について、事前報告又は承認を求め、委託先を通じて、又は必要に応じて委託元自らが、定期的に監査を実施するなどして再委託先においても法20条の安全管理措置が講じられることを十分に確認するのが望ましいとされました。
また、委託元と委託先との契約においては、委託先で個人データを取り扱う者の氏名又は役職等を盛り込むこと、さらには、安全管理に関する事項が遵守されずに個人データが漏えいした場合の損害賠償に関する事項も盛り込まれることが望まれるとしました。
いずれも、ベネッセの事件で業務委託先の従業員による不正持ち出しがあったことから、同種の事案を防止するための方策が盛り込まれたものでしょう。
その他、ガイドラインでは、個人データの共同利用制度に関して、その共同利用者の範囲、責任等を明確にするための修正がなされ、「消費者等本人に対する分かりやすい説明の実施」に際して参考とすべき基準を明記しました。