トップページ  >  起業する  >  経営ハンドブック  >  個人情報に関する経営リスク

法 律
個人情報に関する経営リスク

本レポートは、おもに企業の経営者および個人情報関連部署の方を対象として、企業の個人情報保護の重要性について紹介している。

目次

1.企業としての重要課題"個人情報保護"

1)個人情報とは

一般的に個人情報とは、「第三者が見たときにその本人を特定できる情報」と定義されており、具体的には「名前」「住所」「生年月日」「電話番号」などがそれに当たる。
また、「他の情報と組み合わせたときに、その本人が特定できる場合も個人情報とみなす」という定義もある。これは、記名式でアンケートを実施した場合、一緒に収集したすべての情報が個人情報になり得るということを指す。たとえば、「学歴」だけでは本人を特定できないが、「名前」と一緒に収集して「○○大学卒業の△△さん」となれば、的確に本人を特定できる個人情報となる。
こうしたことからも、企業は顧客から収集するあらゆる情報を個人情報になり得るものとして慎重に扱う必要がる。

個人情報は人に知られたくない度合いにより、大きく4種類に分けられる。(※電子商取引推進協議会による規定)

個人情報取扱企業は、役員、社員、派遣社員、アルバイトなどすべての従業員が個人情報保護を実践するように監督する義務がある。従業員の監督を実現するためには、大きく分けて次の3つの要素が必要。
1、基本情報
「個人情報とは何か」「個人情報を保護するためには何をしたらいいのか」「個人情報の漏洩は、企業にどのような影響を与えるのか」など、従業員に個人情報を正しく理解させるための教育。個人情報に関するセミナーの開催、テキストの配布、Eラーニングなどを組み合わせ、自社にあった教育を実施する必要がある。
2、機微な情報(センシティブ情報)
「個人信用情報(金融・資産関連など)」「趣味・嗜好」「身体特性」「学歴」など、人に知られたくない情報
3、とくに機微な情報(ハイリー・センシティブ情報)
「カルテ」「レセプト」などとくに人に知られたくない情報
4、原則収集禁止な情報
「人種・民族」「門地・本籍地」「宗教、思想」「政治的見解」など原則収集禁止の情報

特に、"人に知られたくない情報(機微な情報)"を取り扱う場合には、収集方法や保管方法を考慮することが必要となる。

2)企業にとって個人情報保護とは

現在、消費者は自身の個人情報について高い関心をもっている。その背景には、知らない企業からのダイレクトメールや身に覚えのない有料サイトからの不正請求など、個人情報の漏洩が原因と思われる迷惑行為の被害が年々大きくなっていることがある。
このような状況において、企業は「収集した個人情報はお客様から一時的にお預かりしているもの」という認識を新たにする必要があり、個人情報保護は企業を運営していくうえで避けては通れない重要課題となっている。

2. 個人情報がもたらす経営リスク

個人情報保護が企業運営の重要課題である理由のひとつは、非常に多くの経営リスクが存在しているためである。そのリスクは大きく分けて、「法令上のリスク」と「経営上のリスク」に分類できる。

1)法令上のリスク

まず考慮すべきは、個人情報の保護と適切な活用を目的に2005年4月1日に施行された「個人情報保護法」。この法律は個人情報(社員情報含む)を保有しているすべての企業を対象としており、法律に違反し管轄省庁の改善指導にも従わない場合には、刑事罰も適用される。
また、個人情報保護法に抵触していなくても、個人情報が漏洩してしまった場合には、被害者より訴訟を起こされるリスクもある。事実、1999年に起きた京都府宇治市の個人情報漏洩事件では、被害者1人当たり15000円の支払いが宇治市に命じられ、個人情報漏洩が金銭的にも非常に大きなリスクをはらんでいることが明らかになった。

2)経営上のリスク

個人情報が漏洩した際に発生するリスクとしては、「社会的な信用低下」があげられる。ある調査では、消費者の約9割が、個人情報漏洩が起きた場合、その企業との関わり方を考え直すという結果が出ている(2004年、財団法人インターネット協会調べ)。
また、信用低下は消費者に限らず、投資家や取引先など企業に関わるすべての人々に影響を与え、株価が大幅に下落したり、取引を停止されたりといった事態も起こっている。

【事例:個人情報漏洩のビジネス的インパクト】

某大手通信販売業A社で数十万件規模の個人情報漏洩事件が発覚。A社は社会的責任を考慮して、事件発覚から1カ月半にわたり営業を自粛。その間、約90億円の機会損失を被った。

この事例からも、個人情報の漏洩が非常に大きなビジネスインパクトであることが分かる。個人情報保護は社内の一部署のなかで完結する問題ではなく、全社的な問題として取り組むべき重要課題。つまり、企業の代表者が推進者として旗を振り、先頭に立って強力に推しすすめていくことが必要である。

3. 企業として取り組むべきこと

1)個人情報保護方針の策定

企業として個人情報保護を実現する第一歩は、個人情報保護方針(プライバシーポリシー)を策定するところから始まる。個人情報保護方針とは、企業としての個人情報の取り扱いに関する考え方を明文化したもので、すべての保護活動の指針となる。明文化して従業員および顧客の目に触れることで個人情報保護の目的やゴールを共有し、円滑に保護活動をすすめていくのに役立つ。

2)内部規定の策定

「個人情報保護方針」を実務の場で実現するためには、各種内部規定が必要になる。内部規定の制定規準は企業によって異なるが、個人情報保護方針をより具体的な行動指針としたものが「個人情報保護規定」、実際の業務の現場においてどのように作業をすすめればよいかを示したものが「個人情報保護マニュアル(手順書)」というように段階的に用意している企業が多い。
また、既存の就業規則や書類取扱規定などについても、個人情報保護の観点から見直し、改善していく必要がある。中でも特に必要なのが、個人情報漏洩時の対応マニュアル。企業は万が一に備え、個人情報が漏洩した際の対応マニュアルを準備しておくことが重要である。

3)個人情報保護方針の策定

個人情報保護方針や保護規程・手順書などが整備されたら、それらを運用するための組織を整備する必要がある。どれだけ書類上の体裁を整えても、それを実施させるためには推進する組織が不可欠。個人情報保護体制を実現するためには、企業の代表者を推進役として全体を統括できるよう、役員・部長レベルの管理責任者が個人情報保護浸透のための実務を担当するなどして、強力に推しすすめていくことが重要になる。

4)内部規定の策定

個人情報漏洩の原因の約8割が、意図的な情報の窃盗やシステムの設定ミスなど、人的なものといわれている。従業員に個人情報に関する適切な知識を与え、モチベーションを高めて、はじめて企業として取り組むべき施策が効果をあげることができる。
教育には、「セミナー開催」「テキスト配布」「Eラーニング(パソコンを使い学習する。大規模な企業や地理的に離れている企業などでとくに有効)」などがあるが、自社にあった教育を継続的に実施してはじめて効果を発揮するものであり、教育計画を立てそれに沿ってすすめていくことが大切。

【事例:個人情報漏洩事件の事後対応による影響の違い】

大手小売業A社では、個人情報の流出の疑惑が発生した時点で即座に対策委員会を設置し、10日後には事実を確認。ただちに社長が謝罪し、原因究明を進め、その内容については逐一消費者に対して公表した。これらの迅速な対応により、A社は一時的に社会的な批判を受けたものの、比較的早い時期に消費者の信頼を回復することに成功。その成功要因は、A社が不測の事態に備えて社内体制を整えていたことといえる。

最終内容確認日2013年10月

Copyright © WizBiz Inc.
このコンテンツの著作権は、WizBiz株式会社に帰属します。著作権の承諾なしに、無断で転用することはできません。

テーマ別

  • 起業・開業
  • 新規事業
    経営計画立案
  • 経営診断
  • 販売促進
  • 中小企業経営
  • 法 律
  • 人事・労務
  • 経理・財務

業種・業態別

  • フランチャイズ
  • 小売業
  • 飲食業
  • サービス
  • 医 療
このページの先頭へ
起業するコンテンツ一覧
  • 事業計画作りや実際の起業準備そして開業まで。起業を目指す人の『こんな時どうする?』に応えます。

  • 法律知識や経営診断など、起業準備段階はもちろん、実際に起業・開業してからも使える豊富な情報を掲載。

  • 『国の補助金を活用して創業するには?』についてご説明します。

  • 中小企業や個人投資家にとってのメリットを、その仕組みや優遇措置について詳しくご紹介します。

  • 起業・開業を考えている職種の消費者利用動向がすぐにわかる、職種別データ一覧。

  • 200以上の業種・職種から選べる開業準備手引き書。

  • 最新のビジネストレンドや中小企業が直面する経営課題など、読み物コンテンツをまとめています。

  • 若手起業家にインタビュ—。「社会人起業」と「学生起業」それぞれの選択を対比しながら起業のカタチを探ります。