2022年 12月 9日

個人情報漏えいという事故や事件の話を聞くと、多くの中小企業でも個人情報の管理に乗り出そうとしますが、では実際にどうしたらよいのかとなると、なかなか手が出せないのが個人情報の管理です。ここではその基本的な考え方について解説したいと思います。

1.そもそも個人情報とは

「個人情報」とは、生存する特定の個人が識別される情報のことをいいます。その中には氏名や生年月日などのように、他の情報と容易に照合でき、それにより特定の個人が識別されるようなものも含まれます。

個人情報の保護に関する法律(以下「個人情報保護法」とする)では、DNA、顔、虹彩、声紋、指紋・掌紋、歩行の態様、手指の静脈等のように生体情報を変換した符号のようなもの、その情報だけで特定の個人が識別できる番号、記号、符号などのことを「個人識別符号」としており、この個人識別符号が含まれる情報も個人情報であるとされています。

また、人種、信条、社会的身分、知的障害、精神障害等の障害があること、健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者または被告人として、逮捕、捜索等の刑事事件に関する手続きが行われたこと、非行少年またはその疑いがある者として保護処分等の手続きが行われたことなど、不当な差別、偏見その他の不利益が生じないようにその取り扱いに配慮を要する情報として個人情報保護法・政令・規則に定められたものを「要配慮個人情報」としています。

また、「個人情報」を容易に検索できるよう体系的にまとめた「個人情報データベース等」を構成する個人情報のことを「個人データ」と呼んでいます。

今回の改正個人情報保護法では、違法または不当な行為を助長する等の不適正な方法により、個人情報を利用してはならないことが明確化されています。

2.個人情報保護法

個人情報保護法は、平成17年4月に全面施行された後、平成29年5月に改正法が全面施行されましたが、個人情報保護をめぐる環境変化がめまぐるしいことから、施行後3年ごとに見直しを検討する旨の規定がおかれています。令和4年4月1日に施行された改正法も、この3年ごとの見直し規定を受けて、個人情報をめぐる環境変化に合わせて改正されたという経緯です。

今回の改正について、個人情報保護委員会では次の8つを改正のポイントとして挙げています。

  1. 漏えい等報告・本人通知の義務化
  2. 外国にある第三者への提供
  3. 保有個人データの開示方法
  4. 個人データの利用の停止・消去等の請求
  5. 公表等事項の充実
  6. 不適正利用の禁止
  7. 個人関連情報
  8. 仮名加工情報

3.個人情報漏えいの原因

個人情報漏えいの原因として最も多いのが「紛失や置き忘れ」、「誤操作」、「マルウェア感染や不正アクセス」で、この3者で全体の約7割を占めるとされます(「情報セキュリティインシデントに関する調査結果」特定非営利活動法人日本ネットワークセキュリティ協会 令和元年)。

「紛失や置き忘れ」「誤操作」といったヒューマンエラーは、教育や環境整備によってある程度防ぐことができますが、マルウェア感染や不正アクセスといったサイバー攻撃から大切な情報を守るのはなかなか厄介です。

近年不正アクセスに起因する漏えい事案の中でも、ECサイト(インターネット上で商品を販売するウェブサイト)や会員用ウェブサイトにおける情報漏えいが多く発生しています。ECサイトではクレジットカード情報、会員用ウェブサイトではポイントの不正利用や個人データが狙われる傾向があります。

また新型コロナウイルスの感染拡大に伴って、クラウドサービスやテレワーク環境などを新たに導入した企業も少なくないようですが、そうしたシステム環境を狙ったサイバー攻撃によって、個人情報が漏えいしてしまう事案も多く発生しています。

4.漏えい等が発生したら

令和4年4月施行の改正個人情報保護法によって、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告及び本人への通知が義務化されました。

この法律で「漏えい等」というのは、「漏えい」「滅失」「毀損」という3つの総称のことであるとされます。

  1. 漏えい……個人データが外部に流出すること
    例)誤交付、誤送付、盗難、不正アクセスなど
  2. 滅失……個人データの内容が失われること
    例)誤廃棄、紛失など
  3. 毀損……個人データの内容が意図しない形で変更されることや内容を保ちつつも利用不能な状態になること
    例)改ざん、ランサムウェア等による暗号化など

また、ここで「個人の権利利益を害するおそれがあるとき」というのは、次のような事態のことを言っています。

  1. 要配慮個人情報が含まれる事態
  2. 財産的被害が生じるおそれがある事態
  3. 不正の目的をもって行われた漏えい等が発生した事態
  4. 1000人を超える漏えいが発生した事態

個人データの漏えい等が生じた場合には、それを発見し、情報を集約し、速やかに個人情報保護委員会に報告するとともに、本人に通知することができる態勢を前もって整備しておくことが事業主には求められます。具体的には、社内で担当者を決めておくとともに、個人データの漏えい等が生じた際の対応マニュアルを用意しておくことが必要になるでしょう。

監修

武蔵野経営法律事務所 弁護士・中小企業診断士 加藤剛毅