いまからでも間に合う個人情報保護法対策
1 個人情報って何?うちの会社も関係あるの?

平成1741日から、個人情報保護法が業種や事業の規模を問わず完全実施さ

れました。
 さて、自社は個人情報取扱業者に該当するか?まずチェックしてみましょう
⇒該当する⇒必ず業務・社内対策を。
 該当しない場合でも⇒信用失墜・実損害・損害賠償の危険性はあり⇒やはり、
最低限の業務・社内対策を。
 また、該当しても、しなくてもポジティブに捉え、技術的なセキュリティ対
策などでビジネスチャンスを
2 個人情報とは―
個人情報
   生存する特定の個人を識別できる情報です。
@ 個人(自然人)に関する情報
A 生存している個人の情報
B 特定の個人を識別できる情報
* プライバシー情報(私生活に関する情報であり、まだ一般には知られ
ていない事柄で、一般人なら公開してほしくない情報)は、個人情報
の一部です。例えば、電話帳に掲載されている電話番号や、名刺に記
載された氏名・住所・役職といった公開情報も個人情報になります。
* 従業員に関する情報(その家族の生年月日なども)も個人情報です。
* 紙にプリントされた情報も含まれます。
個人情報の3分類
個人情報;上記のとおり
個人データ;検索性を備えた個人情報の集合
           保有個人データ;事業者が、当該データの内容を開示したり、
        訂正したり、利用を停止するなどの権限を持っているもの
3 個人情報取扱業者とは
個人情報取扱業者
個人、企業、団体などで次の@A両方に当てはまる場合には、個人情報取
扱業者です。
@ 過去6か月以内に、一度でも5000件を超える「個人データ」を持って
いたことがある
* 件数は人数でカウントします。
* データベースの全部または一部が他人作成によるもので、氏名・住所
電話番号しか含まれておらず、個人情報を追加してデータベースを
変更していないもの(電話会社からもらった電話帳、市販の住宅地図
など)は含まれません。
A @の個人データを事業に利用している
* 事業とは、「反復継続して行う社会活動」をいい、営利事業に限りま
せん。
4 これだけはやっておきたい!会社の個人情報保護対策
     ―個人情報取扱業者に対する規制の内容の概略
1) 個人情報の入手時に利用目的を特定し、明示すること
個人情報取扱業者は、取り扱う個人情報をどのような目的で利用する
のかできる限り特定しなければなりません。
利用目的は、具体的に、はっきり本人に分かるように。
(例) 事業活動に用いるため→×
     提供するサービスの向上のため→×
        マーケティング活動に用いるため→×
        商品の発送に用いるため→○
        アフターサービスに用いるため→○
        新商品、サービスに関する情報提供のため→○
契約書、申込書の1ページ目に個人情報の利用目的条項を入れておくこ
ウェブページに利用目的を明記すること
本人に明示したという証拠(確認の署名)を必ず取り、保管すること
予め利用目的を公表していないと、個人情報を取得した場合に速やか
に利用目的を本人に通知しまたは公表しなければなりません。
2) 個人情報取扱業者は、本人の同意を得ないで個人情報を当初の目的の範囲
を超えては利用してはいけません。
3) 個人情報取扱業者は、利用目的を変更した場合(但し、本人が想定するこ
とが困難でない範囲内での変更に限る)には、変更された利用目的につい
て本人に通知しまたは公表しなければなりません。想定の範囲外になるよ
うな変更は、改めて本人の同意が必要です。
4) 個人情報取扱業者は、個人情報の漏洩、紛失、毀損を防止策(セキュリテ
ィー対策)を講じなければなりません―経済産業省のガイドラインで「講
じなければならない」とされているもの
組織的的安全管理措置
@ 個人データの安全管理措置を講じるための組織的体制の整備
個人情報管理責任者(社長)※必ず必要です。
実務責任者(法的知識、IT知識)←ここまでは、最低限きめておきましょ
                                          う。
総務部         役割;施設管理と業務委託契約書の見直し
人事部         役割;社員情報の取り扱い見直し、就業規則改訂
営業部         役割;顧客情報の管理
システム管理    役割;個人情報の安全性確保の対策
A 個人データの安全管理措置を定める規程等の整備と運用
B 個人データの取扱状況を一覧できる手段の整備
C 安全管理措置の評価、見直し、改善
D 事故や違反への対処(事前にマニュアルの作成)
人的安全管理措置
個人情報取扱業者には、個人情報を取扱う「従業者」を監督する義務があ
ります。
従業者=個人情報取扱業者の組織内で事業者の指揮監督を受けて業務に従
事している人
会社と雇用関係にあるもの(契約社員、嘱託社員、アルバイト、パートも
含む)は勿論、役員、派遣社員も含まれます。
@ 個人情報を外部に持ち出さないという契約を従業者と結ぶこと機密保持に
関する契約書・誓約書を取り交わす。派遣社員とも派遣会社を通じて契約
書・誓約書をとること。
A 従業者の教育・訓練
社内講師、社外講師による定期的講習、部署別研修
B 委託先からの情報漏えいを防ぐ
外部業者への業務委託は第3者への提供には当たらず、本人同意は不要
しかし、元の事業者には、委託先を監督する義務があります。
業務委託先からの漏洩が多い!(03.6ローソン会員情報漏出事件、
04.4コスモ石油会員情報漏出事件)
対策;1.安全管理体制のしっかりした業者を選ぶ
        2.業務委託契約書に個人データの安全管理に関する事項を盛り込
           
     3.委託後、契約が守られているかチェックする 
      4.再委託を認める場合には、「事前に同意を得させる」「再委
         託先の監督義務を負わせる」「文書での報告をさせる」   
物理的安全管理措置
@ 個人データが保管されているオフィスへの入退室管理名札、カード、バッ
ジ、入退室の記録、パスワード、IT認証など
A 持ち出しの制限、私用パソコンの持ち込み制限
B キャビネットの鍵管理
C 盗難予防措置
不正アクセスなどより、ノートパソコンの盗難(車上狙いも)などによる
データ漏洩が多い!
D 機器・装置の物理的な保護
技術的安全管理措置
@ 個人データにアクセス制御(誰でもアクセスできるようではダメ)
A 個人データにアクセスした者がアクセス権限を有する者だと識別、認証で
きるようにすること
B アクセス権限の管理
C 個人データへのアクセス記録
D 不正侵入(不正ソフトウェア)への対策
E 個人データの移送・送信時の対策
F 情報システムの動作確認時の対策
G 情報シムテムの監視
* 不正競争防止法の「営業秘密」として保護されるためにも「情報の管理
体制」が不可欠です。
5 個人情報流出による損害
@ 信用の失墜による損害
個人情報が外部に流出したときは、二次被害を防ぐために速やかに通知をしな
ければならない⇒通知後は顧客や取引先からの信用失墜⇒顧客離れによる
業績低下、取引先との取引条件の悪化
A 事件発生による実損害
原因を調べるための調査費、システム修復や今後の予防のための対策費、
業務停止による実損害
B 法的制裁による損害
刑事上の制裁
  主務官庁の命令に従わなかったとき、6か月以下の懲役または30万円以下
  の罰金。
民事損害賠償請求
  一次的損害の賠償請求
  1件当たりの損害金額は少なくても、件数が多いと莫大な損害になります。
   また、病歴、思想信条、資産状態などのセンシティブ情報の場合、損害賠償金
   はさらに高額になります。
   二次的損害の賠償請求(流出した個人情報による詐欺事件など)
                                                      以 上
<< 戻る

Copyright JITRAD All Rights Reserved