「個人情報取扱い」基本のキ

2024/9/17配信

「実践経営講座 No.50」

コンプライアンスの基幹の一つ、「個人情報の取扱い」がテーマです。

「個人情報取扱い」基本のキ

◆ 個人情報漏えい事故がもたらすもの

企業のコンプライアンスやガバナンスに対し、取分け厳しい目が向けられるのが、個人情報の取扱いに関するものです。

東京商工リサーチの「2023年上場企業の個人情報漏えい・紛失事故」によると2023年には、上場企業だけで175件の事故があり、約4,091万人分の個人情報が漏えい。

発覚した事故では、従業員が不正に個人情報を持ち出し第三者に流出させる事例が多く、NTTグループの事例では、928万人分が元派遣社員により名簿業者などに流出、漏えいされていました。

個人情報保護に関し、社員教育が徹底され、厳しく管理されているはずの大手通信事業会社ですら、漏えい・紛失事故が絶えません。


個人情報の漏えい・紛失は、受注の喪失や賠償請求など、経済的な損失にとどまらず、長年築いてきた信用を一瞬にして失い、企業価値を棄損してしまいます。

企業は業種に関わらず、従業員や役員の個人情報をはじめ、顧客の個人情報を取得、保有しています。

中小企業であれば、一度の個人情報漏えい事故で、事業の継続が不可能にもなりかねません。

そのため、情報セキュリティ対策とともに、個人情報の保護・管理について、教育とルールの徹底が重要となります。

◆ 「個人情報」とは何か

個人情報の漏えい・紛失事故の反面、個人情報のデータベース化が、行政や医療、ビジネスなど様々な分野にサービスの向上、業務の効率化、生産性の向上などの有用性をもたらしていることも大きな事実です。

そこで個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的に施行されたのが「個人情報保護法」です。

個人情報の保護・管理教育のベースとなるのが、個人情報保護法に則した「個人情報・個人データとは何か」と「個人情報と個人データを取扱う基本ルール」の２つです。

では、どのような情報が「個人情報」「個人データ」になるのでしょうか。


「個人情報」とは、生存する個人の氏名、生年月日、住所、顔写真、メールアドレスなど特定の個人を認識できる情報や番号、記号、符号等「個人識別符号」が含まられる情報などのことです。

特定の個人情報を検索できるよう構成された、個人情報を含む情報の集合物が「個人情報データベース」です。

この個人情報データベースを構成する個人情報が「個人データ」、個人データのうち事業者が本人からの請求で開示、訂正、削除できるものが「保有個人データ」です。

そもそも「個人情報や個人データとは何なのか」を理解させることが、個人情報の保護・管理教育の前提です。

◆ 個人情報取扱いの４原則

個人情報、個人データを取扱う基本ルールは、以下の４つです。

1. 個人情報の取得・利用目的の明示、目的外利用の原則禁止、目的外利用をする場合は、本人同意を得る。
2. 個人データの漏えい等が生じない安全管理措置を講じ、従業員・委託先に対しても安全管理の監督を行い、漏えいが発生し、個人の権利権益を害するおそれが大きい場合、個人情報保護委員会に報告し本人に通知する。
3. 個人データを本人以外の第三者提供する場合、原則としての本人の同意を得る。（警察、裁判所等法令に基づく場合などは例外）
4. 本人から保有個人データの開示、訂正、利用停止の請求があった場合や個人情報の取扱いに対する苦情があった場合は、適切かつ迅速に対応する。

取得・利用目的の開示と目的外利用の禁止、安全管理措置・監督、第三者提供の本人同意、開示請求等への対応は、個人情報取扱いの４原則で、個人情報の保護・管理教育の要となるものです。

この４原則に基づき、自社の業務に適合した「個人情報管理規定」を定め、自社のみならず委託先も含め、個人情報の取扱いルールと管理責任を明確にしておくことも重要です。

委託先とは「自社の顧客、従業員の個人情報を預けている企業・人・サービス」のことです。

取引先企業の他、社会保険労務士、税理士、人材情報サービス・クラウドサービスの事業者なども委託先にあたります。

◆ プライバシーポリシーと経営戦略

最近では、委託先のホームページに記載されたプライバシーポリシー（個人情報保護方針）が、委託契約を結ぶ際の与信チェック項目の一つとなっています。

個人情報保護法が、委託先の個人情報・データの管理に関し「必要かつ適切な監督」を義務付けていることや、コンプライアンス評価にプライバシーポリシーのチェックが有用だからです。


次の３点が、委託先の与信評価の基本的なチェックポイントです。

1. 基本方針に個人情報の取得・利用目的、安全管理、第三者提供、開示請求等への対応やマネジメントシステムの策定、法令順守に関する取り組みなどが、適切に記述されているか。
2. 個人情報保護法に基づく公表事項として、個人情報の具体的な利用目的、保有個人データに関する事項が記載されているか。
3. 個人情報に関する苦情・相談、通知・開示等に関する問い合わせ窓口が、明記されているか。

以上、個人情報保護法に定めた公表事項が漏れなく、適切に掲載されているかが、最低限の委託先の与信評価のポイントとなります。


「JISQ15001個人情報保護マネジメントシステム」に準拠した「プライバシーマーク」認証の有無も、個人情報保護能力や情報セキュリティなど、委託先の業務遂行能力の評価に有用です。

海外と取引がある場合、国際規格「ISO/IEC 27001」に基づく「ISMS認証」も与信評価のポイントとなります。

委託先の与信評価を適切に行ったうえで、委託先の「個人情報管理規定」などを精査し、業務委託契約を結びます。

委託契約では、個人情報保護法の監督義務に則り、個人情報・データの取扱いに関する安全管理措置と検証方法を明記しておきます。


与信評価の段階で欠格事項があり、個人情報管理規定も備わっていない企業や団体は、コンプライアンスの面だけでなく、組織運営面でも問題がある場合が多く、委託先の選定から除外します。

安全管理措置を講ずるには、業務フローの洗い出しと個人情報の整理・整頓が必然的に求められます。

個人情報保護法に準拠した個人情報管理規定を整え、社員教育を徹底し、安全管理措置を講じることは、自社の与信維持だけでなく、基本動作である５Ｓ（清掃・清潔・整理・整頓・躾）の徹底にも繋がるものです。

戦略的にプライバシーマーク認証を手段とし、コンプライアンス意識の向上だけでなく、業務改善や収益性向上に成功した中小企業の事例は、少なくありません。

編集後記

企業体質や企業風土と言われるものは、簡単には変えられません。

中小企業の多くは法人会社でありながら、慣習や暗黙の属人的ルールが、組織変革の障害となっています。

個人情報保護法に限らず、法令を盾に認証制度を使い、機械的に規律性を浸透させることは、会社のみならず、社員一人ひとりの成長にも繋がるのではないでしょうか。


（文責：経営士　江口敬一）