【個人情報管理|初級編】担当者が押さえるべき基本と対策を解説
令和2年改正個人情報保護法をはじめ、個人情報に関する企業の管理責任は年々大きくなっており、情報漏洩事故を起こしてしまった際の賠償責任も重くなっています。
しかし、個人情報保護法の基本や個人情報管理の方法に詳しくない個人情報管理担当者様もいるのではないでしょうか。
本記事では、個人情報管理担当者が押さえるべき個人情報管理の基本とポイントを解説します。
記事内では、自社の個人情報管理に足りないものが分かる「診断チャート」付きの資料も紹介しております。「診断チャート」を用いて自社の個人情報管理の現状を把握し、対策をしましょう。
目次[非表示]
- 1.個人情報保護法とは
- 1.1.改正個人情報保護法
- 2.個人情報の取り扱いガイドライン
- 2.1.個人情報の取得・利用
- 2.2.個人情報の管理
- 2.3.個人情報の第三者への提供
- 2.4.保有個人情報の公表・開示・訂正・利用停止等
- 2.5.個人情報の漏えい等の報告等
- 3.個人情報取扱事業者を取り巻く現状
- 4.個人情報取扱事業者が抱える課題
- 5.個人情報管理の4ステップ
- 5.1.把握する
- 5.2.管理ルール・体制の構築
- 5.3.PDCAサイクルを回す
- 5.4.より高いレベルを目指し従業員の意識を向上させる
- 6.自社の個人情報管理の現状を把握しよう
- 7.まとめ
個人情報保護法とは
個人情報保護法とは正式名称を「個人情報の保護に関する法律」といい、情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向等を受けて、平成15年5月に公布され、平成17年4月に全面施行された法律です。個人情報の適正な扱いについて、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。
個人情報保護法では、個人情報の取り扱いガイドラインや個人情報取扱事業者の責務などが明記されています。
改正個人情報保護法
個人情報保護法は、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化に対応するため、定期的に改正されています。
改正個人情報保護法が施行される際は、個人情報管理担当者は改正点を押さえ、個人情報管理体制を見直す必要があります。
関連記事:改正個人情報保護法が5月末に全面施行! 複雑化する個人情報管理への企業の向き合い方、2022年4月施行 改正個人情報保護法とは(前編)、2022年4月施行 改正個人情報保護法とは(後編)
\まずは無料相談/
個人情報の取り扱いガイドライン
個人情報を取り扱う事業者は「個人情報取扱事業者」と呼ばれ、個人情報の取り扱い方について、個人情報保護法の中でガイドラインが設けられています。
一つずつ確認していきましょう。
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
個人情報の取得・利用
個人情報を取得・利用する際のガイドラインは、例えば以下のようなものです。
- 取得する個人情報利用の目的をできる限り特定し、利用目的は本人に通知し、又は公表しなければならない。
- あらかじめ本人の同意を得ないで、特定された利用目的を超えて、個人情報を取り扱ってはならない。
- 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
- 要配慮個人情報を取得する際は、あらかじめ本人の同意を得なければならない。
個人情報の管理
取得した個人情報の管理についてもガイドラインが設定されています。
代表的なものは以下です。
- 個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
- 取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために、必要かつ適切な措置を講じなければならない。
- 個人データの安全管理が図られるよう、従業者や委託先に対する必要かつ適切な監督を行わなければならない。
- 個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告しなければならない。
個人情報の第三者への提供
個人情報保護法では、第三者提供についても以下のようなガイドラインがあります。
- あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- 第三者に提供する際は、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
- 第三者に提供する際は、個人データを提供した年月日、当該第三者の氏名又は名称などに関する記録を作成し、一定期間保存しなければならない。
このほか、外国にある第三者に提供する際のガイドラインもあるため、必要に応じて確認するようにしましょう。
保有個人情報の公表・開示・訂正・利用停止等
本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があり、これらにもガイドラインが存在します。
- 保有個人データに関し、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。
- 本人より開示請求を受けたときは、本人に対し、当該本人が請求した方法により、遅滞なく、当該保有個人データを開示しなければならない。
- 本人より訂正等の請求を受けたときは、その内容の訂正等に関して遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
- 本人より利用停止等の請求を受けたときは、遅滞なく、当該保有個人データの利用停止等を行わなければならない。
個人情報の漏えい等の報告等
万が一、個人情報の漏えいが発生してしまった際のガイドラインも確認しておきましょう。
- 個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態で、個人の権利利益を害するおそれが大きいときは、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
- 本人に対し、当該事態が生じた旨を通知しなければならない。
個人情報取扱事業者を取り巻く現状
個人情報に関する企業の管理責任や情報漏洩事故を起こしてしまった際の賠償責任は年々重くなっています。適切な対策をするために、個人情報取扱事業者を取り巻く現状を理解しましょう。
法令順守と監査
個人情報の管理は前述した「個人情報保護法」や「改正個人情報」のほか、「JIS Q 15001 2017(新JIS)」、「改正割販法」、「PCI DSS」などの新たに制定された法律、規格、基準によって、厳格な管理を求められています。
個人情報を取り扱う企業には、これらの法令や規格を遵守することが求められています。
安全管理措置
個人情報保護法で個人情報の管理に関するガイドラインが制定されているように、個人情報取扱事業者には、個人情報を安全かつ適切に管理することが求められています。
しかし、標的型攻撃やランサムウェアを始め、外部からの攻撃は巧妙化しています。個人情報漏洩を防ぎ、安全な個人情報管理を実現するためには、これらへの対応が必要不可欠です。
また、個人情報漏洩は人為的ミスから発生することも少なくありません。従業員への個人情報管理意識の教育など内部要因への対応も必要不可欠です。
損害や罰則
万が一、情報漏洩を起こしてしまった場合、その損害は計り知れません。損害賠償等の支払いだけにとどまらず、社会的信用の下落による売上の減少は避けられないでしょう。最悪の場合は事業の継続自体が困難になることもあります。
また、情報漏洩を起こしていなくても、前述のガイドラインを遵守していない場合、個人情報保護委員会から勧告を受ける可能性があります。勧告を受けた際、指示に従わなかったり、虚偽の報告をしたりすると罰則を受けるので注意しましょう。
\まずは無料相談/
個人情報取扱事業者が抱える課題
適切な個人情報管理を実現していく過程では、様々な課題が生じます。
ここでは、個人情報取扱事業者が抱えがちな課題について整理します。課題を理解したうえで、その課題を解消するように対策を立てましょう。
個人情報管理の現状把握が出来ていない
まず、個人情報管理を始める際に直面するのが「自社の個人情報管理の現状が把握できていない」という課題です。
自社の個人情報管理の現状が把握できていないと適切な対策が立てられません。
まずは、自社の個人情報管理の現状を把握から始めましょう。
個人情報管理のルールを守れているか不安
個人情報管理の体制を築いた後に直面するのが「個人情報管理のルールを守れているか不安」という課題です。
せっかく個人情報管理の社内体制を構築しても、ルールが守られていなければ安全かつ適切な個人情報管理は実現しません。
個人情報管理体制を構築する際に、各従業員の個人情報の管理方法がルールに従っているか、チェックできる仕組みをつくることも大切です。
従業員の個人情報管理に対する意識を向上させたい
個人情報管理体制を実際に運用していく中で出てくるのが「従業員の個人情報管理に対する意識を向上させたい」という課題です。
個人情報漏洩は、従業員の人為的ミスから発生することも少なくありません。人為的ミスをなくすためには、各従業員の個人情報管理意識の向上が必要不可欠です。
定期的に研修を実施したりツールを利用したりして、従業員への個人情報管理意識の教育をしましょう。
個人情報管理の4ステップ
個人情報管理には、大きく分けて4つのステップがあります。各ステップごとに、前述の個人情報取扱事業者が抱えがちな課題を解決する具体的な方法もご紹介します。
把握する
現状把握は、個人情報管理の第一歩です。
まずはどのような個人情報を所有しているか、その個人情報がどこにどのぐらいあるのかを把握しましょう。
具体的な方法は、
- 個人情報管理ツールを利用して、個人情報の洗い出しをする。
- 個人情報管理台帳を作成する。
などです。
\個人情報管理台帳のひな形はこちら/
管理ルール・体制の構築
現状把握ができたら、具体的に個人情報の管理ルール・体制の構築をしましょう。
具体的な方法は、
- 個人情報の保有、削除のルールを決める。
- ルールに違反したファイルがないかチェックする周期を決める。
などです。
また、管理ルール・体制を構築したら、社内へ周知させることも必須です。
PDCAサイクルを回す
個人情報の管理ルール・体制が構築できたら、実際に運用しPDCAサイクルを回しましょう。
PDCAサイクルが回せて、初めて個人情報管理ができているといえます。
具体的な方法は、
- 個人情報管理ツールを使って、ルールに違反したファイルがないか定期的にチェックする
- ルールの見直しをし、抜け漏れがないように運用の改善をする。
などです。
より高いレベルを目指し従業員の意識を向上させる
個人情報管理の体制が社内に定着したら、さらにレベルの高い個人情報管理を目指しましょう。レベルの高い個人情報管理を目指すうえでは、従業員一人ひとりの意識の向上が重要になってきます。従業員への教育にも力を入れましょう。
具体的な方法は、
- 社内研修を行い、従業員の情報セキュリティ教育をする。
- 個人情報管理ツールを使って、従業員の個人情報管理意識を向上させる。
などです。
自社の個人情報管理の現状を把握しよう
個人情報取扱事業者が対応しなければならないことは、多岐に渡ります。まずは自社の現状を把握するところから始め、自社に合った個人情報管理体制を構築しましょう。
本記事で解説したことをまとめた資料をご用意しております。
自社の個人情報管理に足りないものが分かる「診断チャート」付きですので、自社がどのステップにいるのか確認してみてください。
\診断チャート付き資料はこちら/
まとめ
適切な個人情報管理は、個人情報を取り扱う個人情報取扱事業者が必ず対策しなければならない事項です。
場合によっては違法となり、罰則の対象となります。
また、個人情報漏洩事故などが起きれば、会社の信用に関わり、損害賠償などに発展する可能性もあります。
個人情報漏洩を防ぐためにも、自社の現状把握から始め、個人情報管理のポイントを網羅した個人情報管理体制を構築しましょう。
\P-Pointerの無料資料はこちら/
\自身のPCの個人情報を「無料体験版」でチェック/
