ビジネスにおいてサービスの拡充や業務効率アップに対応し、成長戦略を図るために欠かせないのが顧客の個人情報です。個人情報とは、氏名や住所などを組み合わせることで個人を見分けられる情報や、マイナンバーなどそれだけで個人を特定できる個人識別符号などを指します。

行政機関や医療機関、民間企業など、個人のプライバシーにかかわる情報を扱う事業者は「個人情報保護法」に基づき、これを適切に管理しなければなりません。

本記事では、個人情報保護についての基礎知識や企業における個人情報の取り扱いルールをはじめ、適切に管理するための対策や万一漏えいした場合の対応、押さえておきたいポイントなどをご紹介します。

目次
  1. 個人情報保護法とは
    1. 個人情報取扱事業者とは
    2. 何を「個人情報」と呼ぶのか
  2. 個人情報の取り扱い:4つの基本ルール
    1. 1.取得・利用時の注意点
    2. 2.保管・管理の注意点
    3. 3.第三者への提供
    4. 4.開示請求などへの対応
  3. 個人情報保護:企業の対策7選
    1. 社員教育の実施
    2. 守秘義務契約
    3. ルール作成
    4. 物理的なセキュリティ対策
    5. デバイスのセキュリティ対策
    6. 委託業者の管理体制チェック
  4. 個人情報が漏えいした場合の対応
    1. 状況の把握
    2. 個人情報保護委員会と本人への通知
    3. 再発防止策の実施
    4. 罰則について
  5. 個人情報保護のチェックポイント
  6. 安全な委託先をお探しなら、オーダー!におまかせください
  7. 個人情報保護のまとめ

個人情報保護法とは

個人情報保護法(個人情報の保護に関する法律)は、個人情報の有用性に配慮しつつ、プライバシーの保護を含む個人の権利・利益を守る法律です。行政機関や地方自治体、民間企業など、個人情報を使用する全ての事業者が守らなければならない共通のルールであり、2005年4月の全面施行後、何度か大きな改正もされています。

個人情報保護法は、「基本法」「一般法」で成り立っています。

・基本法…官民共通で定めた、個人情報に関する基本的な理念・方針など

・一般法…民間事業者が個人情報の適正な取り扱いの確保を図るため、遵守すべきルールを定めたもの

昨今はビジネス分野においても個人情報は不可欠となっていることから、個人情報の取り扱いには慎重になる必要があります。万一、情報漏えいなどが起こった場合には企業の存続にも影響しかねないため、常日頃から法を理解し、コンプライアンスに努めることが重要です。

個人情報取扱事業者とは

 個人情報取扱事業者とは、個人情報保護法第2条第5項で「個人情報データベースなどを事業の用に供している者」と定義され、行政機関などを除いた個人情報管理義務を課せられる対象となる事業者を指します。顧客情報をデータベース化して保存している企業などは、非営利や取り扱う個人情報保有件数にかかわらず個人情報取扱事業者に該当します。

以前は、個人情報保有件数が5,000件を超えない小規模事業者は除外されていましたが、2017年の法改正により小規模事業者でも該当するようになりました。

個人情報取扱事業者に対しては、後述する個人情報取扱事業者の義務が課せられ、個人情報保護委員会によって監視・監督されます。義務に違反した場合は行政指導・行政処分の対象となることがあり、一部の行為は刑事罰の対象とされています。

何を「個人情報」と呼ぶのか

個人情報とは、生存する個人についての情報であり、単体や他の情報と組み合わせることによって特定の個人を見分けられるものを指します。

  • 氏名や生年月日など個人を特定できるもの
  • 顔や指紋の認証データ、虹彩や声紋といった個人の身体のデータ
  • 運転免許証番号など個人に割り当てられた公的な番号

これらのうち、上記の個人の身体のデータや個人に割り当てられた番号のような、その情報単体から個人を特定できる、政令・規則で決定された符号を「個人識別符号」といいます。

また、個人情報には、人種や信条、社会的身分、病歴、犯罪歴といった、取り扱いに特に配慮が必要な「要配慮個人情報」というものがあります。 この情報の取得には、原則として本人の同意が要ります。事業者は法令に基づく場合以外は取得が禁止されているため覚えておきましょう。

アラン

氏名や生年月日は、単体では個人を特定できませんが、住所や顔写真などとの組み合わせによって個人を特定できる情報になります。また認証データや公的な番号はそれだけでも個人情報になるんですね

個人情報の取り扱い:4つの基本ルール

参考:政府広報オンライン「『個人情報保護法』をわかりやすく解説 個人情報の取扱いルールとは?」

事業者が個人情報を使用する際には、守るべき以下の4つの基本ルールがあります[4] 順にご紹介しましょう。

1.取得・利用時の注意点

まずは、取得・利用についてのルールです。

個人情報取得の際には「商品発送のため」「サービス提供のため」「アンケート調査のため」など、できるだけ具体的な利用目的を特定し顧客に通知・公表する義務があります。多くの場合、商品購入やサービス利用の前に読んで確認することが求められるプライバシーポリシーや利用規約などに書かれています。

また、当初定めた利用目的以外には使用できず、もし当初の目的を超えて利用する場合は、再度通知・公表し、同意を得る必要があります。

2.保管・管理の注意点

次に、保管・管理のルールです。

顧客の個人情報は、漏えいしないよう安全に管理し、従業員や委託業者に対しても保管・管理を怠らないように徹底することが重要です。具体的には、紙媒体であれば鍵付きのキャビネットに保管する、データファイルならパスワードを設定する、セキュリティ対策を徹底するといった対策が求められます。

また、個人情報を使わなくなった際には、完全に情報を消去する必要があります。

3.第三者への提供

三つ目は第三者提供に関するルールです。

原則として本人の同意があれば、第三者に個人情報を提供できます。災害時など生命の保護にかかわるような状況下で本人の同意を得るのが難しい場合は、例外的に同意を得ず提供できますが、通常は本人の同意なしでの提供は不可となります。

また、第三者に個人情報を提供する場合、第三者から個人情報を受領する場合ともに、「いつ」「誰から誰に提供・受領したか」「データの内容」を記録し、原則3年間保存しなければなりません。

4.開示請求などへの対応

最後に開示請求などへの対応です。

顧客より、自社が保有する個人情報の開示請求を受けた場合には、第三者提供の記録も含め迅速に対応する必要があります。また、開示請求の手続き法などをホームページで公表しておくなど、顧客が確認できる状態にしておかなければなりません。

さらに開示方法についても、書面や電子データなど、顧客本人が求める方法での速やかな対応が必要です。

アラン

4つの基本ルールのうち、特に保管・管理については、社内でガイドラインやルールを定め、セキュリティ対策を万全に講じることが重要なポイントになります

個人情報保護:企業の対策7選

近年、個人情報の漏えいなどの問題が多くの企業で起こっています。こういった事故は人為的なミスはもちろん、外部からの不正アクセスなどによって起こることもあります。

企業で個人情報漏えいがあった場合、原因調査や対応のための時間、コストが必要となるだけでなく、その企業の信用低下につながります。

ここでは個人情報を取り扱ううえで、企業がすべき対策をご紹介します。

ガイドラインと責任者の決定

企業として個人情報保護法のもと、データを適切に管理し取り扱うには、まず社内体制をしっかりと作ることが大切です。推進チームを作ったり責任者を決定したりしたうえでガイドラインを作成し、社内で共有する必要があります。

ガイドラインを作成する際は、独立行政法人情報処理推進機構(IPA)による「中小企業の情報セキュリティ対策ガイドライン」などを参考にするとよいでしょう。

参考: IPA 独立行政法人 情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」

社員教育の実施

個人情報漏えいの原因の多くは、ヒューマンエラーによるものです。組織全体の情報セキュリティレベル向上のためには、社員個々の意識向上が不可欠です。個人情報保護に対するリテラシーを高めるため、社員教育を定期的に実施しましょう。

また、万一、情報漏えいのリスクがあったときには、速やかに報告しやすいよう普段から風通しのよい環境を作っておくようにしましょう。

【風通しのよい環境作り例】
・1on1ミーティングやチャットツールの導入
・社内アンケートの実施など

守秘義務契約

個人情報漏えいが発生した場合、社員個人が起こした事故であっても個人情報取扱事業者に対して責任を問われる可能性があります。個人情報の取り扱いに対する緊張感を持つためにも、社員との間にあらかじめ守秘義務を締結するのも有効な対策です。

ルール作成

そもそも漏えい事故が起こりやすい環境を作らない工夫も大切です。パソコンや個人情報の入ったUSBデバイスなどを社外に持ち出すと、紛失・盗難といったリスクだけでなく、セキュリティ対策を施した社内ネットワークから離脱することによる不正アクセスやマルウェア感染といった脅威も起こり得ます。

デバイスの外部持ち出しに制限を設けたり、情報漏えいリスクがあった際のフローを構築したりといったルールを作ることで、重大な情報漏えいリスクの防止が期待できます。

物理的なセキュリティ対策

上記の漏えい事故が起こらない環境作りと重複しますが、物理的に持ち出せないようにすることもセキュリティ対策として有効です。オフィスのパソコンはデスクにワイヤーなどで固定し持ち出せないようにする、USB利用に制限をかけるといった対策をする企業も増えています。

さらに、オフィス内は部外者立ち入り禁止にするといった措置をとることも必要でしょう。

デバイスのセキュリティ対策

不正アクセスといったサイバー攻撃を防ぐため、常に使用システムを最新の状態にアップデートする精度の高いセキュリティソフトを導入するといった対策が有効です。

また、利用者は自身の個人情報などを取り扱う企業のサイバーセキュリティ対策が適切か、不安になるものです。顧客の理解を深めるためにも、安全管理の方法は公表する必要があります。

委託業者の管理体制チェック

個人情報の取り扱いを社外に委託する場合は、委託業者のセキュリティ対策や、機密性の担保を慎重にチェックしたうえで選定してください。

その際、Pマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)を取得しているかどうかが目安になります。また、個人情報取扱事業者には委託先の監督義務もあるため、セキュリティ対策や担保の取り方、不要となった情報が適切に削除されているかなどについても確認し、安心してまかせられるところに委託しましょう。

▼あわせて読みたい

関連記事
Pマーク(プライバシーマーク)とは?取得方法から費用までを簡単に解説
Pマーク(プライバシーマーク)とは?取得方法から費用までを簡単に解説
2016年1月からマイナンバー制度が導入されるなど、行政機関や医療機関、民間企業などが個人のプライバシーにかかわる情報を保護する範囲はますます広がっています…
アラン

このような対策を徹底することで、人為的なミスや、外部からの不正アクセスのほとんどを防止できると思われます。これらの対策がしっかり実施できているかを定期的にチェックすることも大切ですね

個人情報が漏えいした場合の対応

個人情報保護のための対策をしていても、万一漏えいした場合には、迅速に適切な対応をとる必要があります

状況の把握

第一に対応すべきことは、状況の把握です。漏えいなどの発覚後、直ちに担当者が責任者へ報告し、被害や影響がどの程度なのか把握しましょう。そのうえで、さらなる被害拡大防止の措置を講じます。

個人情報保護委員会と本人への通知

また、情報漏えいにより個人の権利利益を害するおそれがある場合、発覚から概ね3~5日以内に個人情報保護委員会への報告が必要です。個人情報保護委員会のWebサイトに漏えいなどの報告フォームがあるので、そこから報告できます。報告する内容は以下のとおりです。

  1. 概要
  2. 個人データの項目
  3. 個人データに係る本人の数
  4. 原因
  5. 二次被害、またはそのおそれの有無とその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項

また本人に対しても、状況に応じて速やかに概要・個人データの項目、原因、その他参考となる事項について報告をおこなう必要があります。報告する方法は法令上定められていませんが、文書や電子メールなど、本人にとって分かりやすい形で通知する義務があります。

再発防止策の実施

責任者は事実関係を調査して、個人情報漏えいなどが起こった原因を究明し、対策を講じる必要があります。事態がなぜ起こったのかを振り返り、どの対策が機能していなかったのかを明確にしなければなりません。安全かつ適切に個人情報を取り扱い、二度と再発しないよう、対策が確実に実施されるように徹底しましょう。

罰則について

個人情報保護法に違反した場合、以下のような措置がとられます。

  • 個人情報保護委員会からの報告徴収・立入検査に応じなかった場合、報告徴収に対して虚偽の報告をした場合:50万円以下の罰金
  • 個人情報保護委員会の命令に違反した場合:1年以下の懲役または100万円以下の罰金
  • 個人情報データベースなどを不正提供または盗用した場合:1年以下の懲役または50万円以下の罰金

こうした罰則以外にも、違法な行為や不当な行為を助長したり、誘発したりするおそれがある方法で個人情報を利用した場合などは行政処分の対象となり得ます。また、民事訴訟などを起こされる場合もあります。

参考:個人情報保護委員会「個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。」

個人情報保護のチェックポイント

参考:政府インターネットテレビ「これだけは知ってほしい個人情報保護10のチェックポイント(中小企業編)」

これまで解説してきた、個人情報保護のチェックポイントを上の図にまとめました。個人情報取り扱いの際は、これらの項目が守られているか確認しておきましょう。

安全な委託先をお探しなら、オーダー!におまかせください

オーダー!は企業の日々の業務をサポートするビジネスコンシェルジュです。オーダー!のBPO拠点や物流倉庫では、個人情報の保護体制に対する第三者認証制度「プライバシーマーク(Pマーク)」を取得済みです。

オーダー!では、BPOの対象となる作業をオフィスで一貫しておこないます。在宅業務はせず、ビルへの入館チェックや執務室の施錠などを実施し、セキュリティ体制も整った環境で作業するため、情報漏えいのリスク対策は万全です。

委託先を迷っておられるご担当者さまも、安心しておまかせ下さい。

【まるっとおまかせ!定額運用メニュー】

(基本プラン)

  • 料金:10万円(税抜)/月
  • 契約期間:3ヵ月単位
  • 実働時間:30時間/月
    ※依頼内容や条件により、金額が変わる場合があります。

(対象業務例)

  • ページ更新作業
  • セキュリティ対応
  • その他運用、保守業務

など

この他、必要なサービスを選択してご利用いただける個別相談メニューもあります。
お客様のニーズに合わせてご相談に応じますので、ぜひお気軽にご相談下さい。

個人情報保護のまとめ

個人情報保護法の改正後、個人情報を事業に利用している個人情報取扱事業者は、その保有件数にかかわらず個人情報管理義務を課せられています。

万一、漏えいなどの事故があった際には、企業の信頼低下にもつながりかねません。

そのため、取得・利用・保管・第三者への提供の際は、それぞれのルールをしっかり押さえておく必要があります。また顧客からの開示請求には速やかに応じなければなりません。

また、外部業者と業務委託する際も、個人情報の管理体制が整った業者を選ぶことが重要です。アウトソーシングを検討されている場合は、ぜひセキュリティ対策の整ったオーダー!へお問い合わせ下さい。

▼あわせて読みたい

関連記事
【BPOとは?】業務を外部委託するメリット/デメリット – 改善事例も 
【BPOとは?】業務を外部委託するメリット/デメリット – 改善事例も 
自社のバックオフィス部門が社内外の問い合わせや日常業務に追われ、重要業務に進まないと感じていませんか。これを解決するべく情報収集を行い、「BPO」を知った方…