総務が知っておきたい個人情報流出を防止するための施策



平成15年（2003年）に成立した、個人情報の適切な取扱いについて定めた「個人情報の保護に関する法律」が、平成27年（2015年）に改正され、平成29年（2017年）5月30日から全面施行となりました。

この改正により、法律の適用対象が拡大され、企業や個人事業主、町内会・自治会、学校の同窓会なども、個人情報を取り扱う際のルールが義務付けられています。個人情報を扱うことの多い総務担当者は、個人情報の流出には、かなり神経をつかっているでしょうが、あらためて個人情報流出防止策について確認しておきましょう。

個人情報とは

まず、最初に抑えておきたいのは、個人情報とは、どのような情報かということです。個人情報保護法第2条によると、「生きている個人に関する情報」で、以下のものを個人情報と定義しています。

1. 氏名、生年月日、住所、顔写真などにより特定の個人を識別できるもの（他の情報と容易に照合でき、それにより、特定の個人を識別できるものを含む）

2. 個人識別符号で、下記の（1）、（2）が含まれるもの

（1）特定の個人の身体の一部の特徴を電子的に利用するために変換した以下の符号（顔、指紋・掌紋、虹彩、手指の静脈、声紋、DNA）など

（2）サービス利用や書類において対象者ごとに割り振られる以下の公的な番号（マイナンバー、旅券番号、免許証番号、基礎年金番号、住民票コード、各種保険証の記号番号）など

まさに「生きている個人に関する情報」ですが、その中でも人種、信条、病歴といった、不当な差別や偏見が生じる可能性のある個人情報については、「要配慮個人情報」として、特別な取り扱い規定（3章「1」）が設けられています。

関連記事:クイズ、これって個人情報？

関連記事:コレって個人情報？　社員証の顔写真の取り扱い

個人情報流出の防止策

個人情報は、名前や性別、生年月日、住所など、個人のプライバシーにかかわる大切な情報であることは言うまでもありません。

個人情報を効果的に活用することで、行政や医療分野では、サービスの向上や業務の効率化を図ることや、ビジネスなど、さまざまな分野での有効活用ができるようになります。

しかし、この個人情報を悪用すれば、不利益を被ることもあります。だからこそ、個人情報の取扱いには、慎重さが求められると同時に、流出を防ぐための施策が必要になります。

個人情報を扱う際には、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が個人情報保護委員会のウェブサイトにありますので、参考にするとよいでしょう。

個人情報を取得するとき

• 個人情報を取得する際は、どのような目的で個人情報を利用するのかについて、具体的に特定しなければならない。
• 個人情報の利用目的は、あらかじめ公表するか、本人に知らせる必要がある。
• 個人情報のうち、本人に対する不当な差別・偏見が生じないように特に配慮を要する情報（人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害情報など）は、「要配慮個人情報」として、取得するときは本人の同意が必要。

個人情報を利用するとき

• 取得した個人情報は、利用目的の範囲で利用しなければならない。
• すでに取得している個人情報を、取得時と異なる目的で利用する際には、本人の同意を得る必要がある。

個人情報を保管するとき

• 取得した個人情報は漏洩などが生じないように、安全に管理しなければならない。
  （紙の個人情報は鍵のかかる引き出しで保管する、パソコンの個人情報ファイルにはパスワードを設定する、個人情報を扱うパソコンにはウイルス対策ソフトを入れるなど）
• また、個人情報を取り扱う従業員に教育を行うことや、業務を委託する場合に委託先を監督することも必要。

個人情報を他人に渡すとき

• 個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の同意を得なければならない（業務の委託、事業の承継、共同利用は、第三者には当たらない）

※本人の同意を得なくても、個人情報を他人に渡すことができるのは、警察からの照会など法令に基づく場合、災害時など人の生命、身体または財産の保護のために必要で、かつ本人からの同意を得るのが困難なとき、児童虐待からの保護など、公衆衛生・児童の健全育成に特に必要な場合で、かつ本人の同意が難しいとき、国や地方公共団体などへの協力など。

本人から個人情報の開示を求められたとき

• 本人からの請求があった場合、個人情報の開示、訂正、利用停止などに対応しなければならない。
• 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処しなければならない。
• 個人情報を扱う事業者や団体の名称や個人情報の利用目的、個人情報開示などの請求手続の方法、苦情の申出先などについて、ウェブサイトでの公表や、聞かれたら答えられるようにしておくなど、本人が知り得る状態にしておかなければならない。

個人情報を扱う際の基本的なルールは、「使用目的の説明」「勝手に目的外に使用しない」「漏洩しないように保管する」となど、法律があろうがなかろうが、ごくごく当たり前のことです。

注意が必要なのは、「匿名加工情報」という、個人情報を活用するための新しい仕組みが、改正によって盛り込まれたことです。

これは、特定の個人を識別できないように加工したデータについては、一定のルールのもとで活用できるようにしたもので、たとえばカーナビゲーションシステムなどが、これに該当します。

カーナビの新しい機能として期待されているのが、走行中のクルマの位置情報と、ワイパーの動きのデータを集め、運転者が誰かを特定できないように加工、分析することで、局地的な天候の変化をリアルタイムで把握するというものです。

このように、個人情報によって個人が特定されないようにすることで、いろいろな用途への活用は、これから大いに期待されることです。

流出した際の影響、損害

個人情報の流出や漏洩は、不正アクセスなどによる意図的なものから、杜撰な保管方法によって流出騒ぎになるなど、連日のようにニュースで報じられています。

グーグルから50万人分のユーザーの名前や住所、電子メールアドレスなどの個人情報流出、「健康食品通販サイト」からクレジットカードの名義・番号・有効期限・セキュリティコードなどの個人情報漏洩、大学から教職員や学生ら約8万人分の個人情報が外部に流出、日本年金機構の年金情報管理システムサーバからも、個人情報が流出していた問題は、記憶にも新しいところです。

こうした個人情報には、氏名や住所、性別、勤務先、銀行口座、クレジットカード番号なども含んでいることもありますから、悪用されれば、莫大な損害を被ることになります。

もちろん、流出・漏洩させてしまった企業の信用失墜は、計り知れないものがありますが、損害額も莫大なものとなるようです。2011年に、ハッカー集団のサイバー攻撃によって、ソニー株式会社と株式会社ソニー・コンピュータエンタテインメントが7700万件以上の顧客情報が漏えいしたことがありましたが、そのときの被害額は2兆円以上と報道されました。

このように、個人情報の流出や漏洩が多発していることから、政府は、何らかの理由により個人情報を漏洩した企業に対して、報告を義務付ける方針を固めたようです。個人情報保護委員会が中心となり、罰金や、課徴金の導入などの検討を進め、2020年には国会提出を目指すということです。

まとめ

有効に利用すれば、日常生活をさらに便利にすることができる個人情報ですが、悪用することにより、不当な利益を生み出すものでもあります。大企業であれ、中小であれ、個人であれ、どのような組織でも、取扱い方次第で流出・漏洩の危険性をはらんでいます。経営者はもちろん、総務担当者やIT担当者は、個人情報の扱う際には、細心の注意を払う必要があることを自覚しておきましょう。