第5章 5.1 5.1.1 対策実施上の手順・過程とその優先度、実行可能性を考 慮した支援のあり方 企業経営とリスク管理 企業を取り巻く高度情報通信社会の課題 高度情報通信社会は「事故前提社会」である。事故・事件が起きない環境を作り上 げるには技術的な困難さと経済的な負担が大きく、現状では事故・事件が発生するこ とが避けられない。我々は既に「事故前提社会」を自動車という交通手段の世界で経 験している。飛行機や鉄道といった交通手段では事故の発生を限りなくゼロにする投 資が行われ、安全は事業者の責任である。馬や馬車に変わる自動車が移動手段の主役 になった車社会では「事故」の発生は身近なものになり、交通戦争と呼ばれるような 被害者が出る事態を招いた。対策として「自己防衛」を原則として、車を運転しない 人にも「交通安全教育」を実施してきた。それでも事故はなくならない。車社会の現 状では運転する人だけでなく、車を使わない人も交通の安全に自己の責任で注意を払 わなければならない。 現在も車社会は車の利便性と交通事故のリスクを認識し、交通事故がなくならない ことを前提とした社会制度が形作られ、交通安全に対する様々な取り組みが為されて いる。道路交通法、自動車事故賠償保険の強制加入等の法体制の整備、運転免許制度 や事業者の安全運転管理者の設置等の車利用者の義務(基準)の設定、信号機、自動 車専用道路等の物理的対策、車検制度や自動車の事故時の安全対策等の技術的対策、 交通安全教育の実施等の国民の交通安全の意識向上対策が行われている。 同様に、高度情報通信社会でも、 「情報」に関する事故・事件がおきる「事故前提社 会」との認識のもとに社会制度を形成しつつある。一人一台のパソコン利用環境、誰 でも利用できるインターネットの通信環境、莫大な情報が格納できる手のひらサイズ の情報機器等がビジネス社会に新たなリスクを生み出している。光の部分としてのホ ワイトカラーの生産性向上に対して、影の部分としての情報漏洩の事故・事件の発生 がある。個人情報、営業機密情報等の情報に関する「事故前提社会」をより安全によ り安心して居られるように、図-1 に示すような個人情報保護を実現するための枠組み が作られ、行政・企業・個人のそれぞれのレベルで対処するように求められている。 −92− 図 1 わが国の個人情報保護への取り組み体制 (個人情報保護法の概要:内閣府国民生活局資料より) http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20051130sanko4.pdf 経営者は企業活動に関わる業務利用の車両の運用に関する責任は運転者だけが負う のではなく、会社の責任も追及されることを理解している。同様に、 「情報」に関する 管理責任は担当者だけでなく、企業責任(経営者の責任)を追及されることを十分に 認識することが大切である。 図-2 に示すように、企業で情報漏洩等の個人情報に関する不適切な取り扱いが行わ れたときには、苦情相談窓口を経由し、企業に行政指導が行われる。改善が行わなけ れば、行政処分が行われる仕組みである。人情報保護法の罰則は「個人情報取り扱い 事業者」に限定される。しかし、行政処分の対象にならなくても、個人情報漏洩等に よる被害に対する賠償請求という民事訴訟の対象になるリスクは存在する。個人情報 取扱業者の対象外の企業であっても、企業活動のモラスとして社会からは同じような 企業行動を求められていることを理解すべきである。 −93− 図 2 個人情報の不適切な企業への指導の仕組み 車という物理的な実体が見えるものに比べ、情報は物理的な実体に依存しないもの である。紙に固定(記入)されていた情報は紙という実体を管理することで情報を管 理することができた。高性能・高速の複写機が紙の複製を容易にし、複製が作られる リスクが高まった。偽装紙幣が複写機でつくりだされたこともある。さらに、IT 技術 の進歩はあらゆる情報をビット情報での表現(デジタル化)を可能にした。デジタル 化された情報は高密度の記憶装置やインターネットの高速通信手段の利用を可能にし、 時間的、地理的制約がない情報伝達の世界を作り出した。IT の進歩は出来なかったこ とができるようになる進歩であり、従来の業務手順のままでは事故・事件の被害が企 業の存続を危うくすることも想定されるようになった。個人の操作であらゆる情報を 発信したり、集めたりすることが可能なユビキタス環境では、一人の従業員の行為が 企業活動の成果や事故・事件を引き起こす。従業員の行為が大きな影響力をもつビジ ネス社会である。 ビジネス社会では、企業内の管理の問題にとどまらない。企業活動は他の企業や人 との「信用」を前提にした情報交換が中心である。お客様や取引先の権利を尊重し、 取引上で知りえた情報に寄って不利益な事態は発生させないことが行動の基本要件で ある。そのための会社の仕組みと従業員の教育・訓練に努めなければならない。さら −94− に、事故・事件が発生した場合の対処が企業に社会的評価を左右することに経営者は 留意すべきである。 インターネットを始めとする各種ネットワークを活用したビジネス情報交換の社会 (広義の電子商取引の社会)が従来の郵便・電話・FAX でのビジネス情報交換の社会 に変わって主役になりつつある。電子商取引の社会は個人情報が個人データという情 報資産として取引される市場価値を形成している現実があり、情報セキュリティの確 保が必須である。 世界が情報ネットワークにつながり、グルーバル化が進む国際社会では国を超えた 情報の伝達が特別なものではなくなってきているが、個人の権利意識の高揚がプライ バシー権の尊重が基本的な権利として明示されている。たとえば、欧州の個人情報の 取り扱い基準と同等のレベルの国以外には個人情報を渡さないという国家レベルの規 制が設定される。国際社会とのビジネス展開しているわが国にとっては重大な影響の ある規制であり、規制を受けないための国家レベルの対応でもある。 個人情報の漏洩が莫大な金額の賠償請求の訴訟を招くリスクがあるようになった現 実では、経営者のリーダーシップのもとで、企業として備えるべき管理制度、体制、 運用を整備し、事件・事故対策や賠償請求リスク対策等の事業継続管理を考慮し、企 業統治(コーポレート・ガバナンス)を実現することが求められている。 日本経済団体連合会では「企業行動憲章」等を設定し、会員企業に情報セキュリティ の実装を求めている。中小企業も社会の一員として「身の丈にあった」情報セキュリ ティ対策を実施することである。 参 照 :「 企 業 の 情 報 セ キ ュ リ テ ィ の あ り 方 に 関 す る 提 言 」( 日 本 経 済 団 体 連 合 会 2005 年 3 月 15 日) 5.1.2 企業組織としての対応 経営者は企業活動のすべての責任を負っている。経営者は事業を進めるにあたり、 人・物・金の経営資源の 3 要素を管理することといわれてきたが、さらに「情報」と いる第 4 の要素を管理することの重要性が増してきている。 経営者が企業の事業維持管理の観点で会社の各種資産の保全し、従業員の安全を確 保するなどの企業活動に必要な仕組みを維持することに取り組んでいる。経営者が防 犯、防火、防災訓練の実施、従業員の業務上の安全対策、社員の健康管理、安全確認 に取り組むと同じ程度に、お客様や取引先の個人の権利を保護し、情報漏洩等の事故・ 事件が発生させないことにも取り組むべきである。企業の社会的責任(CSR)を果た すために、個人情報の事故や事件の事例に注意をし、情報セキュリティ関連の最新情 報に注意を払い、迅速に対応して被害に合わないように防御する。また、経営者のリ −95− ーダーシップのもと、関連機関と情報共有して防犯能力を社会全体で高めることが「善 良な企業」として求められている。 情報セキュリティの事故・事件は、欧米では従業員の犯罪が多いとの報告がある。 しかし、日本は事情が異なることが分かった。内閣府国民生活局の調査によると、平 成 17 年上期の集計による情報漏洩の原因の分析では、社外の人によるものはすべて 犯罪であるが、社内からの漏洩は社員の犯罪は少なく、社員のミスによるものが多い。 (「個人情報保護の現状と施策について」平成 17 年 11 月 30 日内閣府国民生活局調 査資料より) 情報漏洩元と原因 800 700 600 500 400 300 200 100 0 図 3 明 不 そ の 他 的 ・意 図 三 者 ・不 明 第 業 者 意 従 ・不 注 業 者 従 従 業 者 ・意 図 的 合計 事業者 委託先 情報漏洩元と漏洩原因(内閣府国民生活局の数値のグラフ化) 社員教育と防犯対策も大切だが、 「人はミスを犯すもの」を前提とし社内の仕組みを 作ることにも取り組まなければならない。 中小企業の経営者は従業員とのコミュニケーションがよいため、従業員の忠誠心を 過信し、管理が疎かになりがちである。逆に、性悪説に基づく監査の仕組みを取り入 れると従業員の生産性向上の取り組みを阻害し、監査・監督に必要なコストの増大を 招く。経営者が自社の状況にあった管理を作り上げることが大切である。 「身の丈にあ った」合理的な情報セキュリティ対策を企画するためには、自社が扱う情報資産を事 故・事件が発生した時の経営への影響度を評価して分類し、重要性の高いものに注目 し、投資効果を見極める。個人情報を受け取らない・保存しないことも対策である。 また、情報を取り扱う手順を検証し、人がミスを犯しにくい手順や事故・事件が起 きても被害をできるだけ広がらない対策を取り入れることを従業員と検討する。この −96− ような検討を行うことを通して会社の業務改善に取り組むことが望ましい。 企業で窃盗、強盗、放火、失火、人身事故、伝染病などの事件や事故が発生したと きには、警察、消防、保健所等の公的機関への通報や要請、事故の調査協力が必要で ある。情報ネットワークの世界でも、コンピュータウイルスの被害、不正侵入の被害、 情報漏洩の事故等をしかるべき公的機関やそれに準ずる非営利活動団体に情報提供す る。犯罪と思われる場合には、サイバー担当の警察部門に通報し、現場の状況を保全 し、証拠集めに協力することが企業としての責務である。この行動についても事前に 手続きを決め、従業員に周知徹底する。個人情報に関連した情報漏洩の事故・事件が 発生した場合にも同様な行動規約を決めておくことが必要である。 個々の企業は情報セキュリティの取り組み姿勢としてコンプライアンスの観点だけで なく、経営管理(経営品質向上)の観点から企業経営の成熟度を上げる機会として取り組 みことが望ましい。 経営者のリーダーシップのもとで情報管理の方針を策定し、個人情報ガイドラインにそ った管理手順を整える。建物や部屋の物理的なセキュリティ、情報システムの技術的なセ キュリティの仕組みの採用と同時に従業員の情報セキュリティの教育訓練と維持という 人的なセキュリティの実施が必須である。従業員に情報セキュリティに取り組んでもらう ために、社長が全社の情報セキュリティのビジョンと方針を示唆し、具体的な業務の規程 を決める。これが情報セキュリティポリシーである。この方針に従って、業務で守るべき 項目を盛り込んだ手順(プロセス)を明文化する。個人情報保護に関する方針を公開して 個人情報の利用目的と利用対象企業の範囲に同意を得て、個人情報を個人データとして入 手することを告知する。決めた規程や手続きを従業員に周知徹底し、安全対策措置を行い、 利用する。運用時には最新の情報セキュリティ対応情報(システムの更新情報、修正パッ チ)を収集し、最新状態に自社のシステムを更新する。社内のウイルスの感染状況やセキ ュリティの事故を紹介し、警戒や注意を喚起する。自社への異常アクセスを監視する。こ のような運用を会社として維持していく。万一、情報漏洩等の事故・事件が発生した場合 には、被害が広がらないように適切な対応が取れるように事前に対応手順を設定し、従業 員に教育しておく。 昨年度の調査・研究で行ったネットワークを中心とした情報セキュリティでは、 『企業としての情報セキュリティは、企業活動の情報処理に関するすべてのもの を守ることが必要である。 IT 戦略本部情報セキュリティ専門調査会・情報セキュリティ基本問題委員会の第 1 次提言(2004 年 11 月 16 日)では、守るべきものとして「(1)情報システムそ −97− のもの、(2)情報システム上に蓄積される情報資産、(3)情報システム間でやりとり されるトランザクション、さらに、(4)情報システムの運用の4つの構成要素を対 象として、その防護方策を考える」としている。 すなわち、具体的な言葉で表現すると (ア) Web サイトやメールサーバ、社内の情報機器等の情報システム (イ) 自社に管理責任のある情報資産 (ウ) 取引企業等の交信相手との通信電文 (エ) 業務遂行可能な運用状態 を守ることである。』 とした。 個人情報保護や営業機密管理に取り組む情報セキュリティはネットワークを中心と して情報システムよりも広く企業活動全般の管理として行うことになる。全社活動で ある情報セキュリティへの取り組みは経営者がリーダーシップをとって進めるべきで ある。経営者の支持のもと従業員が業務として情報を適切に管理し、機密を守るため の包括的な枠組みを設定し、実践することである。従業員のセキュリティ対策の能力 向上を要求する活動でなければならない。具体的には、コンピュータシステムのセキ ュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、 それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直 しまで含めた PDCA のマネジメントサイクルを実施することである。 個人情報保護の観点で、情報セキュリティに取り組む場合、紙の情報も含めて情報 セキュリティを構築することである。従って、会社の営業機密を守るセキュリティへ の取り組みとして、社員、協力会社、パート社員、守衛要員等のすべての従業者がセ キュリティの意識を持った対処を求められる。 実施に当って、従業者に無秩序にセキュリティ対応を要求することは管理コストの 増大を招く。社内の情報資産を重要性に基づく基準に整理し、機密レベルによっての 管理体系を決めて、会社の規則に反映させること、さらに、業務手順も見直して効率 のよい手順に改めることが効果的な対策である。企業運営の能力向上をねらう改善活 動として取り組みたい。 対象とするプロセスは個人データの取り扱いプロセス規約と情報セキュリティ対策 が含まれる。 −98− 個人データの取り扱いプロセスでは図 ―4 に 示すように本人が個人情報取扱事業者 に対して関与できる権利に対応した対応が必要である。個人情報の取得に当っては「本 人の同意」をえるという適切な措置を行い、 「個人データ」として取り込む。利用に当 っては、同意を得た利用目的の範囲内で行う。第三者への情報提供は「本人の同意」 を得て行わなければならない。本人からの「個人データ」の確認・訂正・利用停止の 申し入れがあれば、適切な対応を行わなければならない。そのための対応窓口を設定 することが求められている。 図 4 個人情報取り扱い業者の本人対応義務 情報セキュリティ対策には経済産業省が経済産業分野のガイドラインとして 4 つの 分野の安全管理処置を勧めている。 (1) 組織的安全管理措置 (2) 人的安全管理措置 (3) 物理的安全管理措置 (4) 技術的安全管理措置 企業はこれらの対策とネットワークセキュリティ対策を盛り込み、個人情報保護対 策も盛り込んだ社内対策を実施することになる。 −99− 個人情報保護法の制定に合わせて、各省庁が所管分野の指針やガイドラインを出す 枠組みのため、企業が個別に各種のガイドラインを理解するには大変な負担になる。 このため、業界団体が業界向けのガイドラインを設定する動きになっている。 代表的な成果として、社団法人 電子情報技術産業協会(略称:JEITA)は「個人情報 保護対策・実践アセスメントガイド」を公開している。 http://it.jeita.or.jp/infosys/committee/SOL/050323assessment_guide/ 「このガイドは個人情報保護法を始め 5 つのガイドラインを横断的に踏襲している。 • 個人情報保護法・・・・・・基本法令 • 経済産業省ガイドライン・・・・・・各省庁ガイドラインの共通事項 • 厚生労働省指針・・・・・・従業員情報の取扱い事項 • プライバシーマーク・・・・・・監査の観点(JIS Q 15001 • ISMS 認証基準(Ver. 2.0)・・・・・・情報セキュリティ対策事項 CP 要求事項) また、対象とする企業を次の 3 つのタイプにかれて、アセスメントシートを策定し ている。 (1) タイプ A:個人情報取得保有企業向け (2) タイプ B:個人情報預託請負企業向け (3) タイプ C:個人情報一時取り扱い企業向け このうち特に中堅・中小企業において、個人情報取扱事業者から作業を受託する場合に 自己診断として活用できる、タイプ C のセルフアセスメントシートが公開されている。 」 項目が 30 分類 86 項目からなっており、自社の自己診断の参考として活用できる。 電子商取引に関する個人情報保護のガイドラインが、個人情報保護法の制定以前か ら電子商取引推進協議会(ECOM)から公表されていたが、個人情報保護法の施行に 合わせて、経済産業省のガイドラインと整合をとり、更新されたものが公表されてい る。インターネットでのオンラインショッピング等のビジネスを実施している中小企 業が個人情報保護に取り組むのに参考になる。 「民間部門における電子商取引に係る個人情報の保護に関するガイドライン Ver.4.0」(平成 18 年 1 月 16 日) http://www.ecom.jp/report/guideline_ver4.pdf 以下に、経済産業省の産業分野向けガイドラインの安全管理措置の分類に則り取り 組むべき事項を概観する。(詳細はガイドラインを参照。) (1) 組織的安全管理措置 −100− 経営者が安全管理について基本方針を提示し、従業者の責任と権限を明確に定め、 安全管理に対する規程や手順書を整備運用し、その実施状況を確認することを行う。 コンプライアンス・プログラムの作成を行い、その方針・考え方を一般の人が理解で きるようにセキュリティポリシーとして記述し公開する。その方針を実現するための 実施手順を策定し、従業員全員が従えるように教育し、実施する。適切な時期に実施 状況を検証し、必要な対策を行うという PDCA サイクルを回すことが基本である。 また、対象となる情報の取り扱いを明確にするために書類やデータリスト、電子デー タ等の社内ある情報を分類し、個人情報の取り扱いを含めた情報資産の管理体系を整 理し、企業全体のセキュリティ体系を構築していくことが必要である。 自社に管理責任のある情報資産には次の分類のようなものがある。 表-1 利用者の分類 情報資産と個人情報 所有者の分類 情報資産の例 公開情報 会社案内・カタログ・商品説明書・ 販売価格・決算報告 個人データ 社長名、役員名 秘密情報 社外に公開していないすべての情報 営業秘密 社内公開情報 社外秘として管理する情報 自社所有情報 就業規則・財務情報 個人データ 氏名、所属、役職 (知的財産権のある情報) 設計情報・製造情報 利用者限定情報 自社所有情報 個人データ 従業者のセンシティブ情報 自社受け取り情報 個人データ 個人の氏名・住所情報、メールアドレス 他社情報の預かり情報 個人データ 注文情報・ 個人情報を含む情報 −101− 経済産業省の個人情報保護ガイドラインでは次のような事項を具体的な事例を挙げ て説明している。(以下、各項目に同じ) 【組織的安全管理措置として講じなければならない事項】 ①個人データの安全管理措置を講じるための組織体制の整備 ②個人データの安全管理措置を定める規程等の整備と規程等に従った運用 ③個人データの取扱い状況を一覧できる手段の整備 ④個人データの安全管理措置の評価、見直し及び改善 ⑤事故又は違反への対処 (2) 人的安全管理措置 セキュリティポリシー:企業にとっての情報セキュリティの基本方針と規程をセキュ リティポリシーとして決め、それにもとづく実施手順を作成し、従業員に実施しても らう。これらのセキュリティポリシーと実施手順がコンプライアンス・プログラムで ある。コンプライアンス・プログラムで取り決めるべき事柄を要求事項としてまとめ、 標準規格として採択されるようになってきた。 運用しながら、リスクの変化に対応したセキュリティポリシーの見直しや手順の更新 を行い、従業員に周知徹底する継続した活動として行う。 【人的安全管理措置として講じなければならない事項】 ①雇用契約時及び委託契約時における非開示契約の締結 ②従業者に対する教育・訓練の実施 就業規則と誓約書:情報資産の流失や改ざん・破壊が従業員の故意や過失で発生する のを予防するため個人情報も含めた情報セキュリティに関する従業員の遵守事項(行 動の基本規則)と罰則規定(譴責、減給、出勤停止、諭旨退職、懲戒解雇)を設け、従 業員教育を実施し、情報セキュリティの遵守と離職後の含めた守秘義務誓約書の提出 を求める。 従業員教育:情報セキュリティは全従業員を対象にやるべきことを明示する。情報を 公開情報、社内情報、機密情報、個人情報等の情報資産の正確がわかるように整理分 類し、取り扱う人の情報セキュリティ意識が働くようにする。現場作業を通じて情報 セキュリティの大切さを教え込む。情報セキュリティの事故や事件を時々伝えて、注 意喚起を行い、問題意識の高揚を図る。 社員の不注意による情報漏洩リスクが高まっている。パソコンのデータがスパイウ エアのために情報漏洩した事故も発生している。個人情報を含む営業秘密が意図しな い人の手に渡らないように留意すべきことを従業員に知らしめることが必要である。 −102− 個人情報管理チェックシート等のアンケートシートを全社員に記入させることで個人 データの存在を確認し、各自の個人情報の取り扱いの意識付けを行うことも必要である。 実際に起こっている事故・事件例に従業員が個人所有のパソコンで個人データを含 むファイルを保存していて、フリーウエアのデータ交換通信プログラムをダウンロー ドしたために、本人の知らない内にネット上に個人データが流出する事故が発生した。 ウイルスソフト・スパイウエア・データ交換通信ソフト等のパソコン所有者の意図し ない処理を行うプログラムの存在を利用者が知識として持ち、そのようなソフトを持 ち込まない等の情報リテラシイ教育が必要である。 ウイルス感染予防や不正アクセス防止のための人の注意事項は IPA 等の公的機関も公 開しているので、従業員教育に利用することが賢明である。 (3) 物理的安全管理措置 不適切な人の立ち入りをなくすための防犯対策として社外の人の入館・退舘管理を 行い、事故・事件への対処を容易にするための記録を残す。 個人情報の書類は保存倉庫や鍵のかかるロッカーに保管して、取り扱う人を特定で きるように記録を残すことを必要である。 事務所内の個人データのパソコンが盗まれる事件やパソコンが車上荒らし等のため に盗難に合う事件がおき、個人データの漏洩リスクが発生している。企業の管理ミス として情報漏洩の事実を公表し、謝罪することが企業姿勢として求められている。 【物理的安全管理措置として講じなければならない事項】 ①入退館(室)管理の実施 ②盗難等の防止 ③機器・装置等の物理的な保護 (4) 技術的安全管理措置 ネットワーク接続に関する情報セキュリティ機器、暗号化して保存するデータ格納、 利用者認証機能つきパソコン、暗号機能付データ保存の外部媒体などの「人はミスを 犯すもの。」という前提にした情報管理対策を行い、万が一にも機器が紛失しても、情 報漏洩の事態にならないような対策を講じる。 【技術的安全管理措置として講じなければならない事項】 ①個人データへのアクセスにおける識別と認証 ②個人データへのアクセス制御 ③個人データへのアクセス権限の管理 ④個人データのアクセスの記録 ⑤個人データを取り扱う情報システムについての不正ソフトウェア対策 −103− ⑥個人データの移送・送信時の対策 ⑦個人データを取り扱う情報システムの動作確認時の対策 ⑧個人データを取り扱う情報システムの監視 上記の情報セキュリティ対策に加えて、個人情報に関する個人の問い合わせ窓口や クレーム処理窓口の設定が求められている。行政レベルの相談窓口が設定されている が、業界団体が消費者対応窓口を設けて、個人情報の取り扱いにたいする相談業務を 行う枠組みができており、「認定個人情報保護団体一覧表」として公表されている。 図 5 個人情報の取り扱いに対する苦情処理の仕組み 5.1.3 情報セキュリティ対策の評価制度 企業が社内の仕組みとしてどのように取り組んでいるかは、部外者には判断が付か ない。また、企業が自分で公表しても信用してもらえるとは限らない。 製品品質に対する管理体制が国際標準として要求されている事項を満たしているかを 第三者の認証機関が審査し、合格認定を行う ISO9001 が普及している。 これと同じように、個人情報保護に関する社内体制が要求事項を満足するレベルにあ るかを審査し、合格企業に認証マーク(プライバシーマーク)の利用許可を与える制 度がプライバシーマーク制度である。 さらに、情報セキュリティへの取り組みを第三者機関が認証する仕組みとして −104− ISMS 適合性評価制度がある。情報セキュリティの社内制度のレベルを判定し、認証 することが制度かされているが、情報セキュリティの管理レベルの評価は合否判定で はなく、成熟度判定レベル 0 から 5 までの段階を判定し、上級レベルに認証を与える 制度である。 プライバシーマーク制度 (財)日本情報処理開発協会(JIPDEC) が 1998 年より行っている「個人情報保護に 関する事業者認定制度」であり、日本工業規格 JIS Q 15001「個人情報保護に関する コンプライアンス・プログラムの要求事項」に適合して、個人情報について適切な保 護措置を講ずる体制を整備している事業者を認定して、その旨を示すロゴマーク「プ ライバシーマーク」を付与し、事業活動に関してプライバシーマークの使用を認める 制度である。個人情報保護法の制定前からある制度であるが、法律制定後は取得する 企業が急増している。 ISMS 適合性評価制度 わが国の ISMS の認証制度は情報セキュリティに関して、企業が設定したセキュリ ティポリーと手順の内容、その実施状況を認定機関が第三者監査を行い、認証を公表 するものである。ISMS の認定をうけた企業は、社会的な信用を得られることが期待 できる。 この制度は 1999 年にイギリス規格協会(BSI)が ISMS の標準規格として「BS7799」 を策定し、翌 2000 年、実践規範である「BS7799 Part 1」が国際標準化機構(ISO)に よって「ISO/IEC 17799」として国際標準化された。国内では同規格に沿ったガイド ラインが 2002 年に「JIS X 5080」として標準化されている。 これを受けて、日本では、財団法人 日本情報処理開発協会(JIPDEC)が企業の ISMS が ISO/IEC 17799 に準拠していることを認証する「ISMS 適合性評価制度」を運用し ている。 JIPDEC の定義によれば、ISMS とは「個別の問題毎の技術対策の他に、組織のマ ネージメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プ ランを持ち、資源配分して、システムを運用すること」である。 近年では、不正アクセスやコンピュータウイルス、情報漏洩などに関する事件の多 発から、企業の情報管理に対する関心が急速に高まっており、ISMS 認証を受ける企 業も増加している。 −105− さらに、ISMS よりも管理レベルの低い企業に対する情報セキュリティの監査を制 度化した「情報セキュリティ監査」の仕組みがあり、経済産業省が定めた「情報セキ ュリティ監査基準」及び「情報セキュリティ管理基準」に基づき情報セキュリティ監 査を行う第三者に助言や保証を得ることができるようになった。 情報セキュリティ監査 情報システムの管理に対しての監査業務は以前から行われてきたが、情報資産の重 要性の増大とインターネット環境の普及による情報セキュリティの対策強化のために 見直された。 ISMS の認証を受かられないレベルの団体に対して、助言を実施することにより、 情報セキュリティの管理レベルを段階的に上げていけるように、企業や政府・自治体 が実施する情報セキュリティ対策の管理の対策レベルを判定する監査の仕組みを設定 した。対策向上の助言や対策実施の保証を行う仕組みの策定し、そのための客観的に 定められた国の基準を公開している。 対策を実施する企業や自治体が利用する「情報セキュリティ管理基準」は「改善の プロセス」までを包含した「管理項目」を定めた基準(監査の際の判断の尺度)で、 JISX 5080:2002(ISO/IEC17799:2000)をもとに細分化して策定されたものである。 図 6 −106− 情報セキュリティの管理レベルを監査する事業者が利用する「情報セキュリティ監 査基準」は監査主体の行為規範を定めた基準で、以前からある「システム監査基準」 等を参考にしながら策定したものである。 この 2 つは、会計監査のような法定監査ではないものの、これらの基準を国が標準 として示すことで、監査結果に対する「公定力」や「信頼」を付与し、事例の蓄積も 容易となり、法的責任の分担も明確化の方向へ進んでいくと想定している。 経済産業省は監査を業務として実施する企業の申請を受け付けて、監査主体の登録 台帳として「情報セキュリティ監査企業台帳」を公開している。 http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html 2003 年 4 月の「情報セキュリティ監査制度」の施行に続いて、その確立と普及を 目的とする特定非営利活動法人(NPO)の「日本セキュリティ監査協会(JASA:JApan information Security Audit association)」(以下、JASA)が監査人(企業、個人) の質の確保を図るため、研修、監査ノウハウの蓄積等を行う組織として、2003 年 10 月 16 日に設立された。 http://www.jasa.jp/ 図 7 http://www.jasa.jp/download/downf/nikkeiga.pdf −107− 地方自治体向けの情報セキュリティ監査については、2003 年 12 月総務省が「地方 公共団体情報セキュリティ監査ガイドライン」を策定して、公開している。(自治行政 局地域情報政策室が担当) http://www.soumu.go.jp/s-news/2003/031225_12.html −108− 5.2 業種(事業分野)とガイドライン・関係法令への対応 事業者の個人情報保護対策への取り組みを支援するにあたり、業種毎の戸育成や、 ガイドライン関係法令への対応について、説明する。 (1) 業種(事業分野)別での個人情報保護対策の特徴 ○『通知・公表』は、業種毎に比較的類似しており、同業他社の事例を活用できる。 個人情報保護対策として実施すべき事項は、 『利用目的や第三者提供等の通知・公表』 『安 全管理対策』 『開示・訂正・利用停止への対応』の 3 つに区分される。 このうち『利用目的や第三者提供等の通知・公表』は、各事業者が利用している個人情 報の種類や利用目的、業務プロセス(委託や第三者提供)に影響され、個人情報の量や企 業規模にはあまり影響を受けない。 『安全管理対策』は、業務プロセスに影響されるところも少なくはないが、むしろ、取 扱う個人情報の量や形式(電子データか文書か) 、建物や設備の状況、情報通信機器の導入 や利用状況に大きく左右される。 『開示・訂正・利用停止への対応』とは、簡単に言うと、誰がこうした請求を受け、社 内調査し、必要な対応をとるのかということになる。このため、組織形態や規模等に影響 されるところが大きい。 以上のことから、事業者の個人情報保護対策を支援する場合には、 『通知・公表』の部分 については、後述する業界ガイドラインや先行している同業他社の事例(ホームページの 表示事項や申込書等)を活用することにより、比較的効率的に対応できる。 ○業種により、平均的な個人情報保護対策の深さ(レベル)が異なる。 『個人情報の保護に関する法律』では、状態(個人情報か個人情報データベースか) と権利(個人データか保有個人データ)により個人情報を区別している。 しかし、JISQ15001:1999 や「金融分野における個人情報保護に関するガイドライ ン」 (金融庁)等では、個人情報の内容により「機微情報」という定義が行われている。 確かに、法令遵守という建前では、各事業者が保有する個人情報について、あまね く平等な対応が必要であるとする意見もあるが、実際の対策にあたっては、 「個人の権 利利益を保護することを目的とする」 (第 1 条)のために、 『機微情報』のように、個 人情報の中身により、対応の程度(=レベル)を変える必要がある。 個人情報保護の程度を設定することは、容易ではない。目安としては、 「個人の権利・ 利益を保護する」という観点から、個人の権利・利益を侵害する可能性や程度と考え ることができる。これに加えて、 「本人が他人に知られたくない情報」といういわゆる プライバシーに関する内容ということでも、対応の程度を設定する。 −109− 4.4.4.3 特定の機微な個人情報の収集の禁止 次に示す内容を含む個人情報の収集、利用又は提供は行ってはならない。(以下略) ○思想、信条及び宗教に関する事項 ○人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)身体・精神障害、 犯罪歴、その他社会的差別の原因となる事項。 ○勤労者の団結権、団体交渉及びその他の団体行動の行為に関する事項 ○集団的示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事 項 ○保険医療及び性生活 出展:JISQ15001 1999 一般的に、比較的高い水準での管理が求められるのは、先に示した「機微情報」である 「本籍」や「身体・精神障害等の健康」等であり、これらに加えて、 「他人に知られたくな い個人情報」として、「年収」「学業成績」「人事考課」等が該当する。 上記のような個人情報を扱うために、比較的高い水準の個人情報保護が必要な業種とし ては、金融・保険業、医療・介護事業、不動産業、冠婚葬祭業(特に葬儀)、学習塾や私 立学校等があげられる。 また「委託先の監督」 (第22条)として、上記のような業種との関係が深いとして、情 報システム、情報サービス、印刷、各種検査・調査、人材派遣、専門サービス(司法書士、 社会保険労務士、会計士)等でも、ある程度深い水準での個人情報保護の対応が必要とな っている。 (2) 省庁ガイドライン及び関係法令への対応 ①省庁ガイドラインへの対応の重要性 『個人情報の保護に関する法律』にもとづく指導・監督は、各分野を所管する大臣(省 庁)が実施する(同法 36 条)。そして、各省庁が、自ら所管する分野への指導・監督にあ たっての基準として、ガイドラインを整備し、公表している。つまり指導や監督は、 『個人 情報の保護に関する法律』ではなく、各省庁のガイドラインをベースに行われるのである。 このために、省庁ガイドラインは、事業者が個人情報保護の対応策を考える上での基準と もなっている。 この省庁ガイドラインは、対象となる事業者の条件(例:法務省ガイドライン)、保護す べき個人情報の範囲(例:情報分野ガイドライン)に違いがあったり、詳細な制限事項が 記述されている(例:経産省ガイドライン)等の特徴がある。 そこで、個人情報保護の対策を考えるにあたっては、 『個人情報の保護に関する法律』は もちろんであるが、当該事業者の事業分野に関係する各省庁のガイドラインをよく理解し ておく必要がある。 −110− ②省庁ガイドラインの利用における注意点 省庁ガイドラインを利用するにあたって、以下の二点に注意が必要である。 ○比較的頻繁に改訂される可能性がある。 一つは、省庁ガイドラインは法律ではないため、各事業分野の実態等に応じて、頻繁な 改訂が想定されることである。例えば、 「個人情報の保護に関する法律についての経済産業 分野を対象とするガイドライン」 (経済産業省)は、平成 16 年 10 月に告示され、平成 17 年 10 月に改訂されている。 「学校における生徒等に関する個人情報の適正な取扱いを確保 するために事業者が講ずべき措置に関する指針」 (文部科学省)の場合には、平成 16 年 11 月に告示され、平成 18 年 1 月に解説の部分が改訂されている。このように、法律よりも 高い頻度で改訂されることから、定期的に、省庁のホームページ等を参照し、改訂に対応 する必要がある。 なお、各省庁では、省庁ガイドラインのほかにも、個別企業や業界団体等から寄せられ る質問に対する回答として、「Q&A」を作成し、各省庁のホームページで公表している。 これらは、省庁ガイドラインの解釈の隙間を埋める役割を果たしているので、有力な情報 源の一つである。こちらについては、省庁ガイドライン以上に加筆修正があることから、 やはり注意が必要である。 ○各事業者は、複数の省庁ガイドラインを遵守する必要がある。 各省庁のガイドラインは、各事業分野を単位としている。例えば、建設会社の場には、 建設業について、 「国土交通省所管分野における個人情報保護に関するガイドライン(国土 交通省)」の適用対象となり、従業員については、「雇用管理に関する個人情報の適正な取 扱いを確保するために事業者が講ずべき措置に関する指針(厚生労働省)」の適用となる。 さらに、もし介護事業を手がけている場合には、 「医療介護関係事業者における個人情報の 適切な取扱いのためのガイドライン(厚生労働省)」への対応が求められる。 さらに「委託先の監督」 (第 22 条)に関連して、委託先から委託元に対する安全管理の 内容として、 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドラ イン」 (経済産業省)が参考とされる場合が多いので、事業者によっては、考慮しておくと よい。 ○義務と努力義務の区分に注目すること。 省庁ガイドラインでは、「∼しなければならない」という義務事項と、「∼努めなければ ならない」「講じることが望まれる」という努力事項の 2 種類がある。 文字通り、義務事項は必須であるが、努力事項は、各事業者の実態に応じて対応を考え ることができる。特に、中小企業の場合には、能力及びコストの両面で限界があることか ら、必須事項か努力事項かの違いに注意して、対策を取る必要がある。 −111− ③省庁ガイドラインへの対応方法 上記のような特性があることから、実際の適用に当たっては、次のような手順を経る必 要がある。 ○対応が必要な省庁ガイドラインを特定する。 まずは、各事業者が遵守しなければならない省庁ガイドラインについて、各事業分野を 所管する省庁のホームページ、あるいは内閣府のホームページをもとに確認する。 また、受託業務を多く実施している事業者の場合には、委託元の業界を所管するガイド ラインについても確認しておく。具体的には、顧客の大半が金融・保険業である、あるい は情報・通信業であるといった場合には、これらを所管する省庁のガイドラインを確認し ておく。 ○中核とする省庁ガイドラインを決定し、他の省庁ガイドラインとの差を確認する。 以上のように説明すると、非常に膨大な省庁ガイドラインに対応しなければならないと いう印象を持つ。しかし、実際には、多くの省庁ガイドラインは、 『個人情報の保護に関す る法律』の焼き直し、または少し詳しいといった程度である。そこで中核とする省庁ガイ ドラインを決定し、その他の省庁ガイドラインについては、中核となる省庁ガイドライン との間での相違点を把握して、これらに限定して対応すると、効率的である。 ただし、「電気通信事業における個人情報保護に関するガイドライン」「医療・介護分野 における個人情報保護に関するガイドライン」等は、他のガイドラインとの差が大きいの で、差を確認するという方法ではかえって大変になる。そこでこのようなガイドラインへ の遵守が必要な場合には、該当する部門のみで必要な対応を検討し、後で全社的な整合を 確保するほうが、効率的である。 ○必要な対策を整備する。 上記のような手続きを経て、遵守すべき事項と特定したら、これを表○のようにリスト アップする。そして、このリストにもとづいて、必要なルールを整備していく。 ④業界ガイドラインへの対応 ○業界団体の任意の活動として業界ガイドライン等が整備されている。 省庁ガイドラインとは別に、各業界団体においても、任意に個人情報保護に関するガイ ドラインを整備しているところがある。これらは業界内の事業者が個人情報保護対策を取 るにあたっての利便性を確保するために整備されているものであり、強制力もなければ、 法令遵守を保証するものでもないことに注意が必要である。実は、プライバシーマーク制 度も同様であり、プライバシーマークの認証を受けているからといって、 『個人情報の保護 に関する法律』を遵守している証明とはならないことに、注意しなければならない。 −112− 業界団体の定めるガイドラインや、プライバシーマークの付与認定の基準となる JISQ15001:1999 は、あくまで各事業者が、個人情報保護に取り組むにあたっての参考 資料として利用すべきものである。 数多くの業界団体がガイドラインを策定・公表しているが、非常に優れたものもあるが、 実際に有力な参考資料として利用できるようなものは非常に少なく、その多くが『個人情 報の保護に関する法律』や省庁ガイドラインの焼き直しである。 ○対策を考える上での雛形、参考資料として業界ガイドラインを利用する。 以上のことから、中小企業の場合には、先ほどの省庁ガイドラインを整理する作業とと もに、自社の属している業界団体で、個人情報保護ガイドライン等の作成・公表を行って いるか否かを確認し、作成・公表している場合には、それらを入手し、内容を確認の上、 参考となる水準のものであれば、これを積極的に利用するとよい。ただし、内容を理解し ないで引用したりするのではなく、現状を把握し、変更を加えていく必要がある。 −113− 表 対象 個 人 情報 項目 法規上の遵守事項 利用目的の特 個 人 情 報 を 収 集 す る 定(第15条) 前に、利用目的を特定 しているか。 利用目的によ 利 用 目 的 以 上 の 個 人 る制限(第1 情 報 を 収 集 し な い よ 6条) う制限が行われてい るか。 個人情報の利用目的 を変更する場合に制 限が行われているか。 適 正 な 取 得 個人情報を違法な方 (第17条) 法で取得したり、他社 が違法は方法で取得 した情報を入手して 利用するようなこと がないよう制限され ているか。 取得に際して 個 人 情 報 の 取 得 に 際 の利用目的の して、利用目的を本人 通知(第18 に通知(公表)してい 条) るか。 苦情の処理 (第31条) 個 人 デ ー タ 個人情報保護法への対応に関するチェックリストの例 データ内容の 正確性の確保 (第19条) 個人データの 安全管理措置 (第20条) 個人データを 取り扱う従業 員の監督(第 21条) 個人データに 関する委託先 の監督(第2 2条) 現在の対応状況(詳細) 直接本人より、書面で 個人情報を収集する 場合に、利用目的を知 らせている(明示)か。 個人情報の利用目的 を変更した場合に、利 用目的を本人に通知 または公表している か。 個人情報の取扱に関 する苦情に対応する 体制や手続きが整備 されているか。 個人データの内容に 関する更新管理がお こなわれているか。 個人データの漏洩、滅 失又は棄損の防止の ための安全管理策を おこなっているか。 個人データを取り扱 う従業員にたいして、 安全管理のための具 体的な監督をおこな っているか。 業務委託に伴い、個人 データを外部委託先 に提供する場合、安全 管理のための具体的 な監督をおこなって いるか。 −114− 整備すべき事項 ⑤関連法規への対応 個人情報に関する法律は『個人情報の保護に関する法律』だけではない。例えば、 『労働 者名簿』は、労働基準法第 107 条、109 条等によって、労働者について収集すべき個人情 報の内容、提出先、保存期限等が定められている。このように、個人情報を収集、保管、 提出することについて定めている法律がある。 個人情報を収集、利用、提出する事を義務付けた法律は、主に労働基準法、労働安全衛 生法、雇用保険法など、労働、保健、労災などに関する法律と、警備業法や宅建業法等の ようないわゆる業法におけるものの 2 つに大別することができる。労働・保健・労災等に 関するものについては、総務部門で確認したり、社会保険労務士に相談して抽出整理する。 業法に関するものについては、業法の専門家や業界団体等に問い合わせることで、確認す ることができる。 また、『不正競争防止法』(経済産業省)のように、事業者の極秘情報を保護するための 法律がある。この法律については、経済産業省のホームページを検索することで、当該法 規の内容や保護されるべき情報の条件について確認することができる。 こうした整理を実施しておくことにより、文書等の利用目的、保管期限の設定、第三者 提供の有無や提供先等の確認に役立つとともに、 「個人情報の保護に関する法律」にある「利 用目的の制限」「第三者提供の制限」「開示等」における除外規定としての「法令にもとづ く場合」 (法第 16 条の 3、23 条の 1、25 条の 1、25 条の 3)の具体的な内容を特定するこ とにもつながる。 ■個人情報に関連する法規(一部) 書類の名称 株主名簿 書類の内容(例) 保存期間 関係法令条文 会社が存続する限 商法 263 条 株主の氏名 り 労働者名簿 賃金台帳 健康診断個人票 警備員名簿 氏名、生年月日、性別、住 死亡又は退職・解雇 労働基準法 107 条、 所、業務内容、雇い入れ、 から 3 年 109 条、同施行規則 53 退職等の年月日 条、56 条 氏名、賃金計算期間、労働 最後の記入をした 労働基準法 108 条、 日数、労働時間数、基本賃 日より 3 年 109 条、同規則 54∼ 金額等 56 条 健康状況、診断結果等(書 作成から 5 年間 労 働 安 全 衛 生 法 66 式等は任意) 条、同規則 51 条 氏名、住所、本籍、写真、 当該警備員が退職 警備業法 45 条、施行 身分証明書、誓約書等 後 1 年間 −115− 規則 46 条 5.3.個人情報保護にあたり見落としがちな視点 個人情報の保護にあたり、 『個人情報の保護に関する法律』等に明記されていないために、 忘れがちであるが重要な事項について示す。 (1) 従業員情報の管理 経営者より、 「なぜ、従業員の個人情報まで保護しなければならないのか?」との質問を 受ける。このように、従業員の個人情報は、保護の対象外と考える経営者は少なくない。 しかし、 『個人情報の保護に関する法律』においては、顧客か従業員かの区別はなく、すべ て個人情報として、適正な取扱いを求めている。 例えば、メーカー向けのみに部品を供給しているような製造業等の場合には、顧客情報 は、取引先の代表者や担当者等の氏名と会社の住所や電話番号といった程度のものである。 しかし、従業員の個人情報としては、 「自宅の住所」や「電話番号」 「家族構成」 「給与支給 額」「人事考課」「健康診断の結果」といった、いわゆる「人に知られたくない個人情報」 を多数保有している。このような場合には、 「個人の権利・利益を保護する」という観点で 考えると、顧客情報よりも従業員情報について、より厳密な対応が必要である。なお、従 業員情報の管理については、 「労働者の個人情報保護に関する行動指針」 (平成 12 年 12 月 20 日:労働省)を参考にするとよい。 (2) モニタリングに関する通知 個人情報に対する技術的な安全管理対策として、電子メールの送受信、WEB の閲覧、 電子データの利用について、その記録を収集し、安全管理上の監視、事件事故への備えと して利用しているケースが多い。監視カメラで作業状況を記録する場合もある。 こうしたいわゆるモニタリングを行う場合には、「労働者の個人情報保護に関する行動 指針」(平成 12 年 12 月 20 日:労働省)において、事前に労働組合(あるいは従業員代 表)に対して事前に通知し、必要に応じて協議することが求められている。さらに、モニ タリングでの収集は、従業員の個人情報を収集することにもなるので、あらかじめ利用目 的を通知し、必要な安全管理措置と目的外利用の禁止等を遵守する必要がある。 特に、モニタリング情報を収集すると、労働監視や人事考課等に転用したがる傾向があ るが、こうした転用は、労働基準法等に抵触する可能性もあるので、あくまで「安全管理」 のために限定して利用するべきである。 (3) 罰則の整備 「従業者の監督」として、罰則を設けるケースがあるが、この場合には以下の 2 点につ いて注意が必要である。 −116− ○ルール違反に対する罰則は就業規則にもとづいて行う。 個人情報の取扱における重大な過失又は故意の違反に対して、罰則を設ける場合が多い。 再教育等の罰則であれば問題はないが、減俸や解雇等の罰則を科す場合には、従業員の保 護の観点から、就業規則に定める賞罰に準じて実施することにするのが適切である。但し、 この場合には、従業員に対して、「個人情報の取扱いに関するルールに違反した場合には、 就業規則において処罰する」ことを明確に周知させることが必要である。 ○具体的な手順やルールを整備し、教育する。 従業員に対して、機密保持等の誓約書を要求していながら、個人情報の取扱いに関する 具体的なルールや指示を与えていないケースも多く見られる。 あるいは、単に「個人情報の持出を禁止する」といった総論的なルールを定めながらも、 例えば営業担当者は顧客名簿を持参しないと対応できない、というように実態と乖離して いるような場合も多く見られる。 このように、実態として適切な指示が行われていなかった場合には、従業員の責任を問 うことができない可能性がある。やはり、従業員に対して「誓約書」等の形式で、厳しい 要求を行うのであれば、事業者としても、遵守すべき具体的なルールを整備し、従業員に 教育する必要がある。 なお、退職者については、退職後は就業規則によって処罰することができないために、 必要に応じて、退職時に誓約書や機密保持契約を結び、退職後に悪質な個人情報の漏えい 等を行った場合には、 「損害賠償を求める場合がある」ことを両者で、確認しておくとよい。 (4) 従業員との機密保持契約の不正競争防止法への活用 従業員との間で、誓約書、あるいは機密保持の契約を締結する企業も少なくない。極秘 情報といえるような個人情報を取り扱っている企業の場合には、『不正競争防止法』(経済 産業省)を活用することで、極秘情報を保護することも検討するとよい。 『不正競争防止法』 (経済産業省)で定義されている「営業機密」には、複数の条件があ り、その一として、 「営業機密に該当する情報を出来る限り明確にし、契約等の形で従業員 との間で約束をしておくこと」が求められている。そこで、顧客名簿のように、営業秘密 に該当する可能性が高い場合には、従業員との間の機密保持契約の中で、明確にしておく のである。ただし、『不正競争防止法』(経済産業省)を利用するためには、非公知性(公 に知られていない情報であること)や有効性(事業活動に有効な情報であること)、秘密性 (秘密として管理されていること)の三点を充足する必要がある。 −117− (5) 受託委託における注意事項 ①受託者における注意事項 ○対事業所向けサービスの受託事業者は、委託元より個人情報の保護が求められる。 対個人向けサービスを展開している企業において、個人情報保護法への対応が必要であ ることはいうまでもないが、対事業所向けサービスとして、委託先から個人データの提供 を受ける、あるいは対事業所向けサービスの中で、委託元の個人データに触れる可能性が 高い事業者においては、 「委託先の管理」(法第 22 条)あるいは「安全管理措置」(第 20 条)により、個人情報の保護が求められる。 また、上記のいずれにも該当しない場合であっても、昨今の法令遵守の流れにより、適 正に個人情報を保護するための体制の整備等が求められる場合が増えている。 実際に、自治体や民間企業における委託業務発注先の選定基準あるいは選定条件、ある いは既存の委託先への要求事項として、個人情報保護法対策、プライバシーマークの付与 認定の項目が含まれている。また、メーカーによる部品メーカーに対する要求としても、 同じような状況が発生している。 ○委託元の要求内容を確認し、必要な対策を実施すること。 こうした委託元からの要求に対して、虚偽の報告を実施して受託を継続している事業者 も少なくないと思われる。しかし、もし事件事故が発生した場合や、虚偽であることが明 らかになった場合には、事業者の社会的な信頼の低下はもとより、事件事故が発生した場 合には、一方的に非を認めなければならない可能性があることに注意しなければならない。 委託元から個人情報の保護に関する要求がある場合には、この要求をできる限り具体的 に確認し、必要な対応をとる必要がある。 特に、安全管理については、漏えい等の事故が発生した場合の責任追及の材料ともなる ので、委託元と委託先の間で、詳細に確認しておくことが望ましい。 ○受託にあたっては、契約内容を確認すること。 事件事故が発生した場合の損害賠償の負担を回避するため、委託契約書の損害賠償にお ける内容が変化している(例:委託費用の範囲内において補償する→一切の経費の負担を 求める)。こうした傾向に対して、「優越的地位にあるものが委託者の場合、受託者に不当 な負担を課すことがあってはならない。」(経済産業省ガイドライン)とあるように「一切 の経費の負担」といった表記の契約は、適切とはいえない。 いずれにしても、 「受託経費の範囲内で」といった従来よりも、受託事業者としては、損 害賠償の額の面でのリスクが高くなっていることは確かであり、場合によっては大きな損 失が発生する可能性がある。 そこで、業務受託にあたっては、契約内容をよく確認し、一方的な負担を要求するよう −118− な内容の場合には、上記の経済産業省のガイドラインを引用するなどにより、改善を要求 する。場合によっては受託しないようなことも必要である。もし、委託元からの要求を受 け入れるのであれば、上記に示したように、委託元の要求する安全管理の内容を確認し、 これを絶対に遵守するよう、社内ルールを整備し、教育する必要がある。 ②委託者における注意事項 ○委託元は、委託先における個人情報の事件事故について、監督責任が問われる。 『個人情報の保護に関する法律』では、「安全管理措置」「委託先の監督」として、委託 に伴う個人情報の安全管理について、委託元にも監督責任があることが明らかになりまし た。簡単に言えば、委託先で個人情報の漏えい事件があれば、委託元についても監督責任 を問われるということです。 ○具体的な監督方法として、安全管理基準による選定、契約、報告等が必要である。 また、従来の契約書における機密保持事項のみでは、適正な監督を履行しているとは言 えず、経済産業省のガイドライン等で定められている、選定基準の設定とこれにもとづく 選考、個人情報の取扱いに関する契約(目的外利用の禁止、再委託の制限、要求する安全 管理の遵守、事件事故発生時の報告、内部監査権の補償、事件事故等の場合の責任分担 等)、 履行状況の確認といったことが適正に実施されていなければならないとされています。 ○提供する個人情報の重要度に応じて、委託先の管理方法を変える。 委託に伴い個人情報を提供するという状態は、契約書の作成、商品の発注伝票の提供、 名刺の印刷等も含まれてしまいます。こうしたことに至るまで、上記のような監督を行う のは現実的ではない。 そこで、提供する個人情報(法規上は個人データ)の内容と量をもとに、委託先の監督 として、上記の監督行為のいずれを実施するのかを決めるのです。例えば、機微情報を提 供するような場合には、全ての対応を実施し、それ以外については、機密保持契約のみ、 あるいは指示書のみといったことで対応するのが現実的です。 ○第三者提供、共同利用、委託についての違いを理解する。 実際の対策を考える場合に、 「第三者提供」と「委託」で混乱する場合があるので、整理 しておく。 まず、個人情報を、本人と自事業所以外に提供する場合は、たとえ相手が政府や地方自 治体であっても、全て第三者提供となる。 この第三者提供のうち、特定の第三者との間で共同して利用する場合であって、第 23 条 4 の三及び第 23 条の 5 を充足する場合には、「共同利用」とすることができる。なお、 −119− 共同利用とは、グループ会社や複数の企業が共同して会員向けサービス等を展開し、顧客 の情報を双方で共有する場合などが該当する。共同利用の場合は、共同利用する個人デー タの管理についての責任者を公表するが、実質的には、連帯して責任を負うことになる。 そして、第三者提供のうち、自社の実施すべき業務を自社に代わって実施してもらう、 いわゆるアウトソースする場合に伴い、個人情報を一時的に提供する場合が「委託」とな る。 「委託」の場合には、本人に同意を得る必要も、共同利用のように必要事項を公表して おくこともないが、「委託先の監督」の責任が発生する。 これら、共同利用、委託のいずれにも該当しない場合には、同法第 23 条に記載されて いる除外規定の場合を除き、「本人の同意」が必要である。 なお、経済産業省の Q&A では、第三者提供であっても、情報を提供する事業者の側が 管理可能な相手の場合には、情報を提供する側の事業者の責任が問われることになってい ることから、責任を回避するために、実態が委託であっても、第三者提供にすれば、責任 を回避できるということはない。 (6) 事件事故への対応 『個人情報の保護に関する法律』には明記されていないが、各ガイドライン等において は、事件事故発生時の対処についても以下の項目についてのルール整備が求められている 場合がある。 ⑤事故又は違反への対処をする上で望まれる事項 ・事実関係、再発防止策等の公表 ・その他、以下の項目等の実施 ア)事実調査 イ)影響範囲の特定 務大臣等への報告 エ)原因の究明 ウ)影響を受ける可能性のある本人及び主 オ)再発防止策の検討・実施 資料:「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライ ン」(平成 16 年 10 月経済産業省) 実際に事故が発生した場合、『隠蔽』することは、『二次被害の防止』『企業イメージの 低下』を招く恐れがあり、慎まなければならない。実際の事件事故が発生した場合には、 公表すべきか否か、或いはどこまでの範囲で公表すべきかといったことについて検討しな ければならない状況も多い。また、企業によっては株価や取引に重大な影響を及ぼす場合 もあり、事実関係の公表や、主務大臣への報告については、 しかし、過去の事例でも、1 ヶ月近く検討している間に、マスコミから事故の報道がな され、大幅なイメージダウンにつながったケースもあるように、必要な情報の収集、決定、 報告等は非常に限られた時間で迅速に行わなければならない。 −120− そこで、事件事故が発生した場合の組織体制、役割分担、検討すべき事項、報告の手順 等について、あらかじめ整理し、規程等にまとめておくことが必要である。その際に、特 に注意・検討すべき事項として、以下のものがある。 ○限定した関係者での対応による徹底した情報の管理 個人情報に関する事件事故が発生した場合には、大なり小なり企業のイメージダウンや 株価・取引への影響はまぬがれない。事実が明らかになるのは必要なことであるが、実態 が不確定な状況で、外部に事件事故の情報が広がる、あるいは誤情報が広がるということ は、あってはならない。これらを防止するために、事件事故対応に関わる関係者を限定し なければならない。通常の場合には、社長や役員、該当する部門の責任者、該当する部門 の個人情報管理者、システム担当者等がそのメンバーとする。 ○二次被害の防止としての本人への連絡 個人情報に関する事件事故が発生した場合、二次被害を防止するためには、出来るだけ 迅速に、本人に対して、 「事件事故が発生したこと」 「本人の個人情報のおかれている状況」 「考えられる影響」について、連絡しなければならない。 ここで、重要なのは、どのような方法で、どのような内容の事を連絡するのかである。 方法とは、 「封書」 「電子メール」 「電話」のいずれで行うのか、場合によっては社員が直接 訪問して説明ということもあるかもしれない。迅速に実施でき、本人に確実に伝わる方法 を採用すべきであるが、コストも膨大になる可能性があることから、事件事故の内容や程 度を勘案して判断すべきである。 具体的に、連絡すべき内容としては、先に示した3点があるが、表現方法についても慎 重な対応が求められるため、関係者による議論のうえで内容を決定し、通知する必要があ る。 しかし、場合によっては、漏えいした情報の範囲が特定できなかったり、盗難にあった 書類を確認しなければ、本人に連絡できないといった状況もある。こうした場合には、マ スコミ等を利用することも必要である。 ○関係者への報告や公表 個人情報に関する事件事故が発生した場合、本人以外にも、報告や連絡を実施する必要 がある。例えば、取引先、監督官庁、業界団体、委託元等がこれに当たる。関係者への報 告については、事件事故の内容や程度により、関係者のどこまでに報告するのかをきめな ければならない。また、誰が報告するのかも重要な要素となる。 これらについても、どこに連絡や報告が必要なのかについて確認し、一覧などの形でま とめておくことにより、通報遅れや通報漏れを防止することが出来る。 −121− ○事実関係及び再発防止策の公表 事実関係を把握し、再発防止策を決定した段階で、本人はもとより、関係者に対しても、 公表や報告が求められる。 過去の例では、 「自社は被害者」との認識で、説明や対外的に公表した場合には、イメージ がダウンする。「まずは自社も加害者」とのスタンスで、公表の姿勢を固める必要がある −122−
© Copyright 2024 Paperzz