個人情報保護法の理解と 中小企業における対応 財団法人全国中小企業情報化促進センター Ⅰ.個人情報保護の必要性 NIC 1.個人情報保護の必要性 情報社会の進展に伴い、 個人情報の 重要性 が高まっている。 個人情報をとりまく 環境 が 悪化 している。 <発生している問題> 個人情報の漏洩(悪意の従業員の存在) 個人情報の悪用(振込詐欺、ネット詐欺) 電子データ上での個人と現実の不整合 個人や企業 が被害を受 けるケース が増加して いる。 振込め詐欺事件被害額:252億円(既遂:21612件、認知:19840件) ※検挙件数2539件・検挙者819人 <2005年 警察庁> NIC 2.個人情報に関連した事件事故の事例 個人情報に関する事件事故は、悪意のある従業員による犯罪の ほかに、「不正ソフト」「紛失や置忘れ」「盗難」「目的外利用」等があ る。 公表日 事件事故の内容 10/06 Aテレビ局の人気番組の取材先店舗の担当者47名分の氏名や携帯電 話の番号が、制作会社で働いていた派遣社員の私用PCからWinny上に流 出した。9月27日に外部からの指摘を受けて事件が発覚した。 09/21 B公庫は、C銀行の2支店において、B公庫の顧客情報を流用し、ローン の借り換え勧誘が行われていたことから、これらの支店に対して、B公庫融 資の新規受付業務を3ヶ月間停止する措置を決定した。 09/13 CATV局D社の委託業者が営業活動中、顧客宅前に止めていた車両内 においてあった顧客管理表を紛失。4世帯分の氏名、住所、電話番号が記 載されていた。 08/10 E市民病院で、医師が所有するデジタルカメラが外来で紛失した。デジタル カメラには、患者13名分の皮膚病変や顔の画像や個人情報が記録されて いた。 資料:2006年12月時点での新聞報道、企業による公表等をもとに作成 NIC 3.個人情報に関する事件事故の企業への影響 個人情報に関する事件事故の発生により、信頼の低下、取引停止 や買控えによる売上減等につながる可能性がある。 直 接 的 な 被 害 間 接 的 な 被 害 ①再発防止対策費 セキュリティ対策費 等) (厳密・厳重な ②漏洩事故に対する直接の対応費 費(連絡費用、お詫び料)、マスコミ対策費 等) ③訴訟対策 裁判費用、損害賠償支払費用 等) (顧客対策 (弁護士報酬等の ①ブランドイメージや信頼の低下による影響 に渡る売上げダウン、将来の戦略展開への障害 等) (長期 ②取引停止や購控え等による売上げ低下あるいは伸びの鈍化 期的な業務停止、自粛、顧客の取引停止 等) (短 ③業務の混乱や停止による対応能力の低下による機会の損失 務の混乱に伴う業務処理能力の低下 等) (業 NIC 4.各企業における個人情報保護対策の取組み 個人情報保護対策として、プライバシーマークの付与認定を受け る企業が急増している。 出版・印刷業界におけるプライバシーマーク使用許諾事業者数 印刷関連サービス業 印刷業 10社 681社 出版業 新聞業 製版業 製本業・印刷物加工業 42社 3社 7社 6社 合計 749社 資料:JIPDEC「プライバシーマーク使用許諾事業者一覧」(20070206)より抜粋 NIC Ⅱ.個人情報保護法の解説 NIC 1.個人情報保護法の目的 個人情報保護法の目的は、情報社会の進展のため、個人情報の 有効活用と個人の権利利益の保護をバランスさせることである。 個人情報の有用性に配慮しつつ、個人の権利利益を保護する (第1条) 一定のルールの中で「 個人の権利・利益 」を保護することにより、情報 の利用を促進する。 「企業や組織が個人情報を利用する権利」 「個人が自己の情報をコントロールする権利」 従来のプライバシー保護の考え方とは異なる点に注意!! NIC 2.関連する法律等の体系 2-1 関連する法律等の体系 個人情報に関する法律は、「個人情報の保護に関する法律」のほか に、各業界を所管する官庁が指導監督の基準として各種ガイドライン を設定している。 政府 「個人情報の保護に関する法律」(平成15年5月30日法律第57号) 「個人情報の保護に関する法律の一部の施行期日を定める政令」(平成 15年12月10日政令第506号) 「個人情報の保護に関する法律施行令」(平成15年12月10日政令第507号) 「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定) 省庁 「個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン」(平成16年12月経済産業省) 「雇用管理に関する個人情報の適正な取扱いを確保するために事業者 が講ずべき措置に関する指針」(平成16年7月厚生労働省) 「雇用管理に関する個人情報のうち健康情報を取扱うに当たっての留 意事項について」(平成16年10月厚生労働省) NIC 2-2 主な省庁の個人情報保護に関するガイドライン 分野名 ガイドライン名・省庁名 事業全般 個人情報の保護に関する法律についての経済産 業分野を対象とするガイドライン(経済産業省) 雇用管理 (一般) 雇用管理に関する個人情報の適正な取扱いを確 保するために事業者が講ずべき措置に関する指針 (厚生労働省) 雇用管理 雇用管理に関する個人情報のうち健康情報を取り (健康情報) 扱うに当たっての留意事項について(厚生労働省) 電気通信 電気通信事業における個人情報保護に関するガイ ドライン(総務省) 国土交通 国土交通省所管分野における個人情報保護に関 するガイドライン(国土交通省) 農林水産省 個人情報の適正な取扱いを確保するために農林水 産分野における事業者が講ずべき措置に関するガ イドライン(農林水産省) NIC 3.個人情報保護法に関する用語の解説 3-1 個人情報等の定義 『個人情報 』:生存する「個人に関する情報」であって、特定の個人を識 別することができるもの。 『 個人情報データベース 』:特定の個人情報をコンピュータを用いて 検索することができるように体系的に構成した、個人情報を含む情報の集合 物、又はコンピュータを用いていない場合でも一定の規則に従って整理。分 類し、容易に検索可能な状態においているもの。 『 個人データ 』:個人情報データベースを構成する個人情報。 『 保有個人データ』:事業者が開示、内容の訂正、追加又は削除、利 用の停止、消去及び第三者への提供の停止を行うことのできる権限を有す る個人データであり、6ヶ月以上保有しているもの。 『 個人情報取扱事業者』:取り扱う個人情報の量及び利用方法からみ て、個人の権利利益を害するおそれが少ない者を除いた、個人情報データ ベース等を事業の用に供している者。 『 本人(情報主体)』:個人情報によって識別される特定の個人。 NIC 3-2 個人情報、個人データ、保有個人データの例 あなたの会社内にある、以下の個人情報について、「個人情報」「個 人データ」「保有個人データ」のいずれに該当するかを考えてみまし ょう。 ①採用時に提出された従業員の履歴書 ②店の防犯カメラに移った顧客の映像 ③会計システムに登録されている取引先代表者や担当者の氏名、 会社名、住所 ④所属する業界団体加入者の名簿 ⑤営業担当者の受取った名刺 NIC 3-3 個人情報取扱事業者の定義 「個人情報データベース」 ・生存する個人に関する情報であること ・特定の個人を識別可能であること(ほかの情報と照合することで 識別可能なものを含む) ・一定の規則に従って整理することにより、特定の個人情報を容易 に検索することができるよう体系的に構成した情報の集合物である こと 上記「個人情報データベース」で識別される個人の数が過去六カ月以 内のいずれかの日において、5000件を越える場合。 『個人情報取扱事業者』 「個人情報取扱事業者は、本法律の遵守が義務づけられる」という程度の問題で あり、たとえ該当しなくても、世間や顧客から同じように批判を受けるし、損害賠償 の請求も発生する。 NIC 4.遵守すべき事項 4-1 個人情報の種類と遵守すべき事項 個人情報 個人データ 保有個人データ 利用目的の特定 (第15条) 利用目的の通知 (第18条) 利用目的による制限 (第16条) 適正な取得 (第17条) 苦情の処理 (第31条) 上記に加えて以下が適用される 内容の正確性の確保 (第19条) 安全管理措置 (第20条) 従業者の監督 (第21条) 委託先の監督 (第22条) 第三者提供の制限 (第23条) 上記に加えて以下が適用される 保有データ事項の公表(第24条) 情報開示への対応 (第25条) 情報訂正への対応 (第26条) 情報利用の停止 (第27条) 手続きの整備 (第29条) NIC 4-2 個人情報の流れと遵守すべき事項 取得に際しての利用目 的の通知(第18条) 保有個人データに関する 事項の公表(第24条) 本 人 本人の求めによる個人デ ータの開示、訂正、利用 の停止(第25,26,27条) 理由の説明(第28条) 適正な取得 (第17条) 利用目的の特定 (第15条) 開示等の求めに 応じる手続(第 29条) 開示、訂 正、停止 受付と対 応 収集 第三者提供の制 限(第23条) 保管 利用 データ内容の 正確性の確保 苦情受付 (第19条) と対応 廃棄 個人情報取り扱い事業者に よる苦情の処理(第31条) 個人情報取扱事業者 NIC 利用目的による 制限(第16条) 安全管理措置 (第20条) 従業者の監督 (第21条) 委託先の監督 (第22条) Ⅲ.中小企業における個人情報の保護 NIC 1.中小企業における個人情報保護の目的 『顧客の信頼に応え、安心感を与えること』 個人情報取扱事業者になるか否かは関係ない いわゆる『個人情報取扱事業者』になるか否か、あるいは法律 で処罰されるかどうかの問題ではない。 ウソは、ばれたときにより多くの信用を失う できない事を『できる』あるいは『やっている』というと、事故が発 生した時に信頼は失われる。できることからはじめ、やっている事 を知らせる。 NIC 2.個人情報保護対策の構築手順 (1)個人情報保護法を理解し、遵守すべき事項を特定する (2)会社としての個人情報保護法への対応方針を決定する (3)現状を把握する (棚卸、重要性評価、リスク把握、対応確認) (4)対策を構築する (5)対策を実施して記録する、さらに継続的に見直す NIC 3.個人情報保護対策の構築 3-1 個人情報保護法の理解 個人情報保護法を理解し、遵守すべき事項を特定する 個人情報保護法及び所管官庁のガイドライン等をもとに、個人情報 保護法の目的や遵守(要求)事項について理解する。 ①個人情報保護法の理解 ②所管官庁による個人情報保護のガイドライン等の把握 ③その他業界ガイドライン等の把握 ④遵守すべき法令及びガイドラインの特定 ⑤業界他社の動向、顧客の要求事項を把握 「遵守すべき内容の特定」(チェックリストの作成) ※各省庁のガイドラインは、会社単位ではなく、業務単位で対象となる。 NIC 3-2 対応方針の決定 会社としての個人情報保護法への対応方針を決定する 個人情報保護法への100%完全な対応は現実的には不可能。そこで、会社 としての対応方針(重点、水準、方法)を決定する。 <対応方針の決定に必要な情報の把握> ①個人情報の実態(概要)を把握する 社内における個人情報の所在の把握(名称、内容、対象者、保管場所、保管媒体)と重要度合い を特定する。 ②個人情報取扱事業者か否かを確認する 自社にある個人データにより特定される個人の数の確認を確認する。 ③現状の対応レベルを確認する 遵守する事項(個人情報の収集、情報主体への対応、情報の更新、情報セキュリティ等)に対する 現在の自社の対応状況について確認する。 ④関係者の要求を理解する 個人情報保護法に関連して、自社に対して顧客が何を求めているのか(安全管理か、それとも本 人対応か、そのレベルは?)を把握する。 ⑤経営者の考え方を把握する 個人情報の重要性に対する認識、コンプライアンスへの重要視の度合い、顧客に対する考え方、 個人情報保護法への考え方等により、経営者の意識レベルを確認する。 NIC 参考:想定される方針のパターン例 レベル 方針 実施内容(例) 1 何もせず、やり過ごす 2 社員への注意を徹底す る ○就業規則の改訂 ○社員及び委託先との機密保持契約の締結 ○全社員向けの教育研修の実施 3 目立つ最重要の個人 データのみ管理策を取 る ○個人データの洗いだし(概要) ○収集から廃棄までの流れの確認 ○本人対応手順と安全管理の整備 4 重要な個人データを組 織的に管理する ○組織体制の構築 ○個人データ&リスクの洗いだし ○目的明確化、安全管理、本人対応の整備 5 JIS規格を利用して PDCA型の管理体制 を整備し、継続的に改 善する ○JISQ15001の規格に即した、個人情 報の管理体制及び管理システムの整備 ○上記のシステムに基づいた個人情報の洗いだ しと対策の立案、継続的改善 6 情報セキュリティに関 する基準を利用して管 理体制を整備する ○ISO27001にもとづいたセキュリティ 管理システムを構築し、これに個人情報保護法 対策に必要な目的明確化と本人対応の手順を加 える。 NIC 3-3 現状の把握 自社の保有する個人情報を特定し、重要度を評価する。さらに、 業務プロセスを把握し、発生するリスクと要求事項への対応状況 を把握する。 ①自社内にある個人情報を棚卸する 個人情報の在庫状況を確認し、不要なもの(違法なもの)を廃棄する。さらに、収集方 法、廃棄時期、保管場所、利用者、責任者、権利関係等を明確にする。 ②自社内にある個人情報の重要性を評価する 自社の保有する個人情報について、漏洩や改ざん等が発生した場合の情報主体や 自社への影響度をもとに、個人情報の重要度を評価する。 ③重要な個人情報について、収集から廃棄のプロセスを把握する 重要な個人情報について、収集~利用~保管~廃棄の流れを整理する。 ④プロセス毎に発生する可能性のあるリスクを把握する プロセス毎に不正アクセス、漏洩、紛失、改ざんのリスクを把握する。 ⑤遵守すべき内容の対応状況を確認する 重要な個人情報について、遵守すべき事項の対応状況を確認する。(利用目的を明 確にしているか、本人に通知しているか、同意をとっているか等) NIC 3-4 対策の構築 3-4-1 利用目的の特定と限定利用のための対策 ①『個人情報の登録管理(個人情報管理台帳)制度の整備』 「個人情報管理台帳」を作成し、新規の個人情報の取得にあたり、登録する制度を 整備する。 <台帳への登録項目の例> ○個人情報、個人データ、保有個人データの分類 ○利用目的【法15条対応】 ○保有期間、廃棄時期 ○保管場所、保有責任者 ○利用目的の通知、公表実施の有無【法18条対応】 ○第三者への提供の有無【法23条対応】 ○内容に関するメンテナンスの要不要【法19条対応】 ②『利用目的を変更する場合の検討ルールの整備』 利用目的の変更、第三者への提供が必要になった場合等について、改めて通知 する必要があるか否か等の対策を検討するための体制(ルール)を整備する【法1 8条対応】 。 NIC 3-4-2 個人情報の収集における対策 ①利用目的の通知、公表方法の整備 具体的な利用目的の通知、公表の方法を整備する。特に書面(電子式、電磁式 を含む)での収集については、事前に利用目的を明示する方法を決定する。既に 取得済みの場合には、公表・通知を実施する【法18条対応】 ○ホームページ、店舗等での掲示による公表 ○申込用紙、DMへの表示による明示&通知 ②同意の取り方に関するルールの整備 第三者への提供(機微情報の収集等)が必要な場合に同意を得る方法を整備す る【法23条対応】。 ○申込用紙、DM等への表記 等 ③情報メンテナンスルールの整備 「個人データ」のうち、正確性を確保する必要があると判断するものを特定し、こ れらについて目的達成に必要な範囲内で、具体的なメンテナンス対策を検討する 【法19条対応】。 ○変更連絡の為の窓口開設と公表、○システムによる自動変更 ○定期的な調査 NIC 参考1:個人情報の保護に関する法律に基づくホームページ等での公表事項 第24条等にもとづき、以下の事項について自社のホームページや店 舗内の掲示等により本人が容易に知り得る状況にする。 個人情報取扱事 自社の会社名及び本社住所などを記載する。 業者の名称 個人情報の利用 第24条では全ての保有個人データの利用目的となってい 目的 るが、第18条に対応するため、個人情報の利用目的を記 載する。 開示訂正利用停 開示(25条)、訂正(26条)、利用停止(27条)に関する手 止等の手続き 続き及び手数料(30条)を記載する。 苦情及び相談の 個人情報の保護に関する法律施行令第5条1項により、 受付 個人情報の取扱いに関する苦情の連絡先を記載する。 個人データの第 三者への提供 個人データの第三者提供を実施する場合は、23条2項に より、必要事項を記載する。 個人データの協 同利用 個人データの協同利用を実施する場合は、23条4項三に より、必要事項を記載する。 NIC 参考2:個人情報の収集時の通知及び明示の事例 第18条等にもとづき、個人情報を取得する際には、以下のような事項 を公表するか、収集時に明示あるいは収集後に通知する。 なお、直接本人から書面により収集する場合のみ、明示が必要で あり、それ以外の場合は、公表または通知でよい。 <公表または明示の文例> 今回ご提供いただきましたお客様の個人情報は、○○○○に関する受注、進捗管理、連絡、請 求、当社のサービス向上及び関連する情報の提供等に利用いたします。法令にもとづく場合を除き、 お客様のご同意を得ることなく、第三者に提供することはございません。 当社の個人情報の取扱い及び苦情等の問合せにつきましては、以下のHPをご確認ください。 http://www.▲▲▲.com/ <インターネットによる変換サービスの受付における説明> 以下の事項をご確認いただき、ご同意いただける場合には、以下のボタンをクリックし、 お申し込みフォームにお進みください。 今回ご提供いただきますお客様の個人情報は、○○○○の受注、進捗管理、連絡、請求、 当社のサービス向上及び関連する情報の提供に利用いたします。 法令にもとづく場合を除き、お客様のご同意を得ることなく、第三者に提供することはござ いません。 当社の個人情報の取扱い及び苦情等の問合せにつきましては、以下のHPをご確認くださ い。 http://www.▲▲▲.com/ NIC 3-4-3 間接収集時の注意 個人情報を本人以外から間接的に収集する場合には、「違法な収集 ではないか」「法令に準じた手順で収集されているか」といったことを、 収集源に確認する必要がある。もし、こうしたことが確認できない場 合には、利用を控えたほうが懸命である。 以下のように、常識で考えて、一般に出回るはずのない個人情報について は、違法性があると判断して購入したり入手しないこと。 <例> 「多重債務者名簿」「民間スポーツクラブ等の入会者リスト」 「特定業種の従業員リスト」「金融機関等の重要顧客リスト」 「○○商品の購入者リスト」 等 名簿業者自体が名簿を販売する行為は禁止されていない。しかし、これを購 入して利用した企業は、違法な取得として法令違反となる可能性が非常に高 くなるので、注意が必要である。 NIC 3-4-4 第三者提供における注意 第三者提供は本人の同意がない場合には原則禁止です。ただし、 以下のような場合には、同意を得なくても提供することが出来るとさ れています。 ①法令にもとづく場合 ②人の生命身体又は財産の保護のために必要がある場合であって、本人の同意を得 ることが困難であるとき。 ③公衆衛生の向上又は児童の健全な育成の推進のために、特に必要がある場合で あって、本人の同意を得ることが困難であるとき ④国の機関若しくは地方公共団体又はその委託を受けた者が、法令の定める事務を 遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより 当該事務の遂行に支障を及ぼす恐れがあるとき 「法令にもとづく場合」以外は、全て「本人の同意を得ることが困難である」や「本人の 同意を得ることにより当該事務の遂行に支障を及ぼす可能性がある場合」とあるよう に、提供する側の責任を求めていることに注意が必要です。 NIC 3-4-5 安全管理策の策定 ①組織的な安全管理策の策定 個人情報利用者の役割と責任、安全管理に関する規定や業務上の手順を整備す る。 ②人的な安全管理策の策定入(社員への対応) 従業員との間での非開示契約の締結、個人情報の取り扱いに関する教育の制度 を整備し、実施する。 ③物理的な安全管理策の策定 施錠可能な什器・備品の導入、機器類の固定、非常用電源装置の導入等につい て検討する。 ④技術的な安全管理策の策定 情報へのアクセスに関する認証、パスワード設定によるアクセスの制御、アクセス ログの収集、監視カメラの設置等の監視機能を導入する。 ⑤委託先の監督ルールの整備 「個人データ」の取扱を委託するにあたって、安全管理措置の内容を契約書に盛り 込むとともに、契約内容が遵守されているか否かを定期的に確認するためのルール を取り決める【法22条対応】 NIC 参考1:安全管理策構築のポイント ①個人情報毎の責任者の設置 各個人情報毎に管理の責任者を明確にする。 ②アクセスの制御 個人情報に対してのアクセス権限を最小限にする。 ③アクセス状況の記録 遵守状況の確認や違反者発生の抑制のため、個人情報へのアクセス状 況を記録する。 ④検知、検証 ルール違反、事件事故の発生を検知する。事件事故が発生しているか否 かを検証する。あるいは事故が発生したときに原因を調査できるようにする。 NIC 参考2:廃棄時の安全管理のポイント ①文書類の廃棄 重要な文書を廃棄する場合には、シュレッダーを使用する。手で裂いた程 度ならば何もしないのと同じ。 廃棄物処理業者に依頼する場合には、廃棄処理に伴う漏えいの責任を 明確にしておく。また、事故発生時の廃棄物処理業者の補償能力も確認し ておくこと。 ②パソコンの廃棄 ハードディスク内のデータを完全に消去するため、ハードディスクのみを 取り出し、物理的に廃棄する。または、専用ソフトを使って、データを完全に 消去する。 廃棄物処理業者に依頼する場合には、機密保持契約を締結し、廃棄証明 書を発行してもらう。 ③USBメモリ、CD、DVDの廃棄 CDやDVDを廃棄する場合には、物理的に破壊すること。そのままの状 態で廃棄してはいけない。USBメモリーなども同じ。 なお、こうした媒体は持ち運びが容易なうえ、紛失しやすいものなので、そ もそも出来る限り重要な個人情報等に利用しないこと。 NIC 3-4-6 従業員教育の実施 ①個人情報の重要性 業務において収集利用している個人情報の重要性について、悪用され た場合の本人への影響や、会社及び従業員への影響について説明し、 個人情報の取扱いにおける意識の転換を求める。 ②個人情報の取扱手順 各従業員が業務において取り扱っている個人情報の収集、利用、保管、 廃棄の具体的な手順を決定し、当該従業員に説明する。 ③個人情報に関する苦情や事件事故が発生した場合の対応 本人から当社の個人情報の取扱いについて問合せや苦情があった場合 の対応。個人情報の漏えいや紛失、目的外利用等の事件事故が発生した あるいは発生した恐れがある場合の対処方法を決定し、従業員に説明す る。 NIC 3-4-7 本人への対応(苦情受付等)に関する対策 ①個人情報の開示、訂正、利用停止に関する受付方法の整備 情報主体からの要請に対して、「受付」「内容及び事実性を確認」「対応を検討」「対 応を実施」「報告・説明」する体制を整備する。【法28条、29条対応】 ②個人情報の開示、訂正、利用停止に関する受付方法の公表 「個人情報取扱事業者の氏名」「利用目的」「利用目的の通知請求(手数料を含む )」「開示請求」「内容の訂正、追加又は削除の請求」「利用の停止又は消去の請求」 「第三者への提供の停止」の手続きを公表あるいは本人に通知する仕組みを整備 する。【法24条対応】 <例>電話での対応窓口を自社のHPやパンフレット等で公表する。 ③個人情報の取扱いに関する苦情への対応体制の整備 個人情報の取扱いに関する苦情の対応に必要な体制を整備する【法31条対応】。 <例> ○個人情報に関する苦情受付窓口(担当部門、電話番号、メール アドレス)の 設置 ○苦情の具体的な受付ルールの整備 ○苦情を受けた場合の社内での調査、検討ルールの整備 NIC 3-4-8 事件事故時の対応 ①事件事故が発生した場合の対応方法の整備 個人情報に関連した事件事故が発生した場合の対策として以下の事項について 決めておく。 ○緊急対策委員会等の組織体制及び責任者 ○上記関係者の役割 ○上記委員会での調査検討項目 ○通報、報告先の特定 等 ②本人への連絡方法の確認 個人情報の漏えい事故が発生した場合、犯罪等に利用され被害が発生するのを 防ぐためにも、漏えいした個人情報の本人に報告し、注意を喚起する必要がある。 そこで、本人への連絡の方法や手順、連絡までに要する時間や費用等について確 認しておく必要がある。 ③事件事故発生時の報告先の確認 事件事故が発生した場合には、上記のように本人に連絡するだけではなく、所管 する省庁や地方自治体、所属団体、最寄の警察等にも連絡する必要がある。こうし た場合に連絡漏れなどがないよう、予めリストを作成し、必要に応じて選択して連絡 できるようにする。 NIC 3-4-9 実施状況の記録と継続的な改善 ①実施状況の記録 構築した対策の実施を証明するために必要な記録を作成する。 監督官庁からの報告要求や裁判の際に証拠として「記録」を示す必 要がある。 ②対策の定期的な見直しと改善 対策は一度整備したら終わりではなく、新たな問題点を解決するとともに、 リスクへの対応レベルを向上させるために、定期的な見直しが必要です。 対策の実施状況、問題点等を定期的 に確認 セキュリティ技術の革新 同業他社での取り組み状況 情報漏洩の事件・事故 裁判判例 自社で発生した事件・事故等 NIC 「方針」と「対 策」を見直す 3-5 受託時の注意点 委託業務に伴い、個人情報の一時的な提供を受ける場合には、委託元 が要求する安全管理の方法や水準について、出来るだけ具体的に確認し ておくこと。特に契約内容については注意が必要である。 ①契約内容の確認 委託元から提供される個人情報の管理について、契約上の条件の有無 や内容について、自社にとって一方的に不利な内容となっていないかを確 認する。理不尽な内容の場合には、契約を見直す。 ②安全管理上の要求の理解 依託元が要求する安全管理の内容や水準について出来るだけ具体的に 確認しておく。単に「漏えいするな」だけでは、具体的な対策を実施できな い。もし、こうした確認に委託元が応じない場合には、依頼したが応じても らえなかった旨を記録し、契約書とともに保管しておく。 ③自社での対応状況の確認 上記で確認した委託元の要求する安全管理の内容や水準を、現在の社内の安全 管理の状況でクリアすることが出来るのか。あるいは、新たな対応が必要な場合に、 対応が可能なのかを確認する。 困難な場合には、委託元と安全管理について要件の見直しを行う。 NIC Ⅳ.個人情報保護対策において利用す る調査手法の解説 NIC 1.個人情報保護対策で利用する主な調査手法 (1)個人情報の棚卸と重要度の評価 社内にどのような個人情報がどの程度あるのかを把握し、さらに これらの重要度を評価する。 (2)個人情報取扱いプロセスの整理とリスクの把握 特に重要な個人情報について、収集、利用、保管、廃棄の流れを 整理するとともに、どのプロセスにおいて、漏洩や改ざん等の事件 事故が発生するリスクがあるのかを把握する。 (3)個人情報管理シートの作成 特に重要な個人情報についての取扱い手順(収集、利用等の手 順)、個人情報保護法で要求されている事項への対応、安全管理策 (外部持ち出しの制限、保管方法、廃棄方法)等の具体的なルール を設定する。 NIC 2.個人情報保護対策で利用する主な調査手法 2-1 個人情報の棚卸と重要度の評価 組織内にある個人情報を把握し、不要な個人情報の数を減らす。 さらに、重要度を評価することにより、対応すべき情報の優先順 位付けを行う。 ①個人情報の棚卸 組織内にある個人情報の所在を把握する。そして、これらの個人情報について、 必要性及び適法性を確認し、不要なもの、違法なものを廃棄する。 ②基礎情報の収集 ①の棚卸の結果、利用を継続する個人情報について、利用実態(内容、目的、 収集方法、保管、利用、廃棄等)を把握する。 ③個人情報の重要度の評価 基礎情報をもとに、「機密性(漏えいした場合の損害の程度)」「完全性(内容 が誤っていた場合の損害の程度)」の観点からランク付けを行う。 NIC 2-2 個人情報取扱プロセスの整理とリスクの把握 重要な個人情報について、個人情報の収集、利用、保管、廃棄 の流れ(プロセス)を把握する。 さらに、個人情報を取扱うプロセスの中で、漏えい、改ざん、紛 失、誤記等の発生する可能性のあるリスクを把握する。 ①個人情報取扱いプロセスの特定 重要な個人情報について、収集、利用、保管、廃棄の流れ(プロセス)を整理す る。 ②「機密性」「正確性」に対するリスクの把握 上記の各プロセスにおいて発生する可能性のある「機密性」と「完全性」を阻害 するリスクを特定する。 <機密性を阻害するリスク例> ○文書の盗難、紛失 ○FAX、電子メール、郵送における誤送信 ○不正ソフトによる不正アクセス <正確性を阻害するリスク例> ○申し込み用紙からの誤転記・誤入力 ○不正ソフトによる書換えや破損 NIC 2-3 個人情報管理シートの作成① 個人情報の棚卸調査及び取扱プロセスの調査結果をもとに、法 律や省庁ガイドラインを遵守するために必要な各個人情報に関す る取扱いのルールを決定する。 ①基本情報の整理(法15条) 名称、内容、対象者、利用目的、数量、分類、重要度、利用部門(責任部門、収 集部門、利用部門、保管部門)、利用の概要といった個人情報に関する基本情報 を整理する。 ②委託、共同利用、第三者提供(法22、23条) 対象とする個人情報に関する委託、共同利用、第三者提供の有無及び提供先、 提供方法、責任者を特定する。 ③公表、明示、通知(法18条、23条) 利用目的の通知(公表、明示、通知)、共同利用の公表、第三者提供における同 意の実施に関する責任者を特定するとともに、これらの実施の有無及び実施方法、 実施しない場合とする理由を特定する。 NIC 2-3 個人情報管理シートの作成② ④安全管理のための利用制限(法20条) 個人情報の利用における安全管理のために、利用に関する責任者、利用制限、 複写・複製、保管、外部持ち出しに関する内容について決定する。 ⑤委託先の監督(法22条) 委託に伴う提供を実施する場合の監督方法について決定する。 ⑥更新(法19条) 個人情報の正確性の維持のため、更新に関する責任者及び更新の必要性、更 新の方法について決定する。 ⑦開示、訂正、利用停止への対応(法25、26、27条) 個人情報の開示、訂正、利用停止に関する請求があった場合の責任者及び、開 示、訂正、利用停止に対する制限事項について決定する。 NIC 本資料は、当財団及び当財団の会員組織が自らの体制構築や研修 活動において利用する場合には、複製及び転載を許可しますが、そ れ以外の者による複製、無断転載を禁止します。 財団法人全国中小企業情報化促進センター 東京都中央区銀座4丁目10番5号 三幸ビル本館6階 電話03-3549-1820 NIC
© Copyright 2024 ExpyDoc
