石川 竜雄
個人情報保護法(前編) では、改正個人情報保護法の内容について確認しました。後編では、個人情報保護法へ事業者が対策しておくべきことを解説します。
日本国内の事業者は、規模の大小に関係なく対応範囲や罰則が強化されており、知らなかったでは済まされない状態となっています。対策の参考にしていただければ幸いです。
改正個人情報保護法への対策
事業者が確認しておくべき対応はどのようなものでしょうか。
個人情報保護委員会のガイドラインを確認する
個人情報保護委員会のウェブサイトには中小企業向けの「改正個人情報保護法対応チェックポイント」が公開されています。チェックポイントには、すぐに取り組むべき重要なポイントがわかりやすくまとめられており、参考になります。
【参考】改正個人情報保護法対応チェックポイント|個人情報保護委員会
個人情報を漏えいさせない体制構築
改正法では万が一、情報漏えいが発生してしまうと報告義務が発生し、報告義務違反には最大1億円の罰則というペナルティが課されることになります。また、取得した個人データを安全に保護するよう求められています。ルールを改正するだけでなく取得した個人データをしっかり保護することが重要となります。
個人データを安全に管理するために改正個人情報保護法で定められているのが「安全管理措置」です。個人情報の取扱いは「安全管理措置」に沿って実施していなければ、大きなリスクにもなります。
第二十条=安全管理措置
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
情報の漏えいや、き損などを防ぐための安全管理措置は「組織的・人的・物理的・技術的」の4つに分類されています。事業者はこれらの内容を理解し、情報を安全に管理する体制を構築しなければなりません。
(1)「組織的安全管理措置」
● 組織体制の整備
● 個人データの取扱いに係る規律に従った運用
● 個人データの取扱状況を確認する手段の整備
● 漏えい等の事案に対応する体制の整備
● 取扱状況の把握及び安全管理措置の見直し
(2)「人的安全管理措置」
● 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。
(3)「物理的安全管理措置」
● 個人データを取り扱う区域の管理
● 機器及び電子媒体等の盗難等の防止
● 電子媒体等を持ち運ぶ場合の漏えい等の防止
● 個人データの削除及び機器、電子媒体等の廃棄
(4)「技術的安全管理措置」
● アクセス制御
● アクセス者の識別と認証
● 外部からの不正アクセス等の防止
● 情報システムの使用に伴う漏えい等の防止
まとめ
個人情報保護法改正により、本人の情報保護に関して規定が強化されました。
個人の権利の強化や第三者提供にまつわる変更、仮名加工情報や個人関連情報の新設など、改正ポイントは多岐にわたります。企業は個人情報を適切に扱う必要があり、改正によって、これまで以上に慎重な個人情報の取り扱いが求められています。
上記で示したガイドラインや安全管理措置の内容を参考に、常に情報管理体制の見直しを進めて行く必要があります。
