【経済産業省のガイドライン】
経済産業省は6月15日、来年4月1日の個人情報保護法の全面施行に向けて、所管業界の企業が法律に基づいて個人情報を保護するためのガイドラインを公表しました。
個人情報保護法は個人情報取扱事業者に対して、個人データの漏洩防止のために必要な措置(安全管理措置)を講じることを義務付けており、ガイドラインは企業がいかなる措置をとるべきか具体例を挙げて示しています。
その内容は(1)組織的、(2)人的、(3)物理的、(4)技術的安全管理措置に分類されます。
【組織的安全管理措置】
まず、企業は個人データの安全管理について、役員、社員(パート、アルバイト、派遣も含む)の責任と権限を明らかにして、個人データ安全管理規程を整備運用し、その実施状況を確認しなければなりません。
具体的には、個人情報管理者(チーフ・プライバシー・オフィサー)を設置し、個人データの取り扱い作業の責任者・担当者を限定し、また監査責任者の設置を含む監査体制の整備が求められます。
漏洩事故が発生した場合の、代表者への報告連絡体制、監督官庁への報告体制の整備も予め定めておく必要があります。
個人データ安全管理規程には、データの取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄について、責任者・手続きの明確化、作業担当者の識別、認証、権限の確認方法などを規定しなければなりません。
個人データ取扱台帳(データの利用目的、保管場所、保管方法、アクセス権限を有する者などを記したもの)の整備、監査の実施とその結果の代表者の報告、漏洩事故発生時の公表、事実調査、再発防止策の検討・実施も必要です。
【人的安全管理措置】
次に、社員を採用する際に、業務上の秘密である個人データを開示しないことを義務付ける契約を締結し、これに違反した場合のペナルティなどの措置を定めておく必要があります。契約書上書いてあるというだけでは足りず、個人データ管理に関する内部規程を周知徹底させ、さらに教育訓練を実施しなければなりません。
【物理的安全管理措置】
また、個人データを取り扱う業務を、入退室の管理を実施している室内で実施し、情報システム自体、そのような室内に設置しなければなりません。
盗難に対する対策も十分でなければなりません。個人データを含む書類、媒体、情報システムの操作マニュアルを机に放置することなどを禁止する必要があります。席を離れる際のパスワード付きスクリーンセイバなどを起動することも望まれます。
また個人データを取り扱うパソコン等の機器自体の盗難、破損についても防止策を講じなければなりません。
【技術的安全管理措置】
そして、個人データ、情報システムへのアクセス制御、不正ソフトウエア対策、情報システムの監視等も必要です。
個人データへの正当なアクセスであることを確認するために、アクセス権限を有する者本人であることの識別と認証(IDとパスワードなど)を実施し、そもそもアクセス権限を有する者を最小限にし、システムの利用時間を業務時間に限るなどの措置を講じなければなりません。また、ウィルス対策ソフトウエアを導入し、セキュリティ対策用修正ソフトウエアの適用も必要です。また個人データの暗号化も望まれます。そのほか情報システム、個人データへのアクセス状況の監視が求められています。
【ガイドラインに従わないとどうなるか】
企業が法律に違反しているとして、経済産業大臣から勧告や命令を受けるかどうかは、このガイドラインを基準とすることが明らかにされています。したがって、ガイドラインに沿った行動が取れているかどうかは極めて重要です。
命令を受けても、改善措置をとらなければ、6か月以下の懲役(個人事業者や会社の代表者)や、30万円以下の罰金に処せられることになります。
企業の損失がそれだけに留まらず、社会的信用を失ってしまうおそれのあることは最近の漏洩事件を見れば明らかでしょう。