弁護士法人 淀屋橋・山上合同

Q&A

個人情報保護法

Q8:
「安全管理措置」を取る必要があるといいますが、法律の条文が抽象的で、具体的に何をすれば良いか分かりません。教えて下さい。
A8:
1 法は、個人情報保護の最低限を画するという観点から、あくまで抽象的にしか定めていません。また、貴社の会社の規模・組織等によって、やるべき対応も様々であり、一概にこれがベストとも言えません。ISMSやPマークを研究して頂ければ分かりますが、個人情報も、様々な価値や漏洩時のリスクがあり、それらの価値やリスクを評価して、その価値に合わせた管理のやり方というのがある筈です。
 ただ、考える視点という意味では、既に述べた経済産業省のガイドライン(http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf)が4つの視点から、安全管理措置を整理していますので、参考になると思います。以下若干紹介します。

2 組織的安全管理措置
 安全管理について従業者(法第21条参照。)の責任と権限を明確に定め、安全管理に対する規程や手順書(規程等)を整備運用し、その実施状況を確認することをいいます。
 例えば、従業員の誰もが、全ての個人データに触れるということになれば、漏洩リスクは大変高くなりますが、当該個人データの種類内容に応じて、必要な人に限り触れることができると権限を制限すれば、安全管理は高まります。そのような社内の規則等の整備を行うこと等(一度決めた規則で十分か否かを点検し、よりよくして行くことを含む)が、かかる措置に含まれます。

3 人的安全管理措置
 従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいいます。
 例えば、規則や権限を定めても、具体的に従業員が規則・権限やその運用を知らなければ全く意味がありません。取引先との間で「秘密保持契約」を締結しても、何が秘密か従業員が知らねば意味がありません。そのような教育等を中心とする安全管理措置がここに含まれます。

4 物理的安全管理措置
 入退館(室)の管理、個人データの盗難の防止等の措置をいいます。
 倉庫等にカギを設置し、データやPCにパスワードを設定することも勿論ですが、例えば、大切なデータがある場所は入口から遠く配置する等、物理的にリスクを回避する方策を採ることがここに含まれます。

5 技術的安全管理措置
 個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいいます。
 コンピュータ用語が多くなりますが、ウイルス対策ソフトの導入、ファイヤーウォールの導入、ドメインへのログインの制限、モニタリングの実施など、様々な対応が考えられます。但し、モニタリング等、従業員のプライバシーと抵触する可能性がある事項については、別途の調整も必要になります(Q9参照)。

6 一般に「安全管理措置」といえば、「技術的安全管理措置」が考えられやすいですが、決まりも教育もなければ、いかに社内のシステムエンジニアがセキュリティ対策を知っていても、実践ができません。4つの視点からバランスの良い安全管理措置を導入していくこと、特に、組織的安全管理措置の項で述べたように、一度決めたらそれっきりとするのではなく、情報の価値とリスクを評価して、当該価値とリスクに相応しい措置に改善していくことが、大変重要です。

7 更に、これらの「安全管理措置」を取る大前提(第1歩)として、貴社がどのような個人情報を保有しているのかを正しく把握することが必要となると思われます。
 そこで、会社が減価償却資産等について「資産台帳」を保有しているのと同様に、個人情報についても、「個人情報台帳」を整備して、個人情報の取扱いを管理することも重要になります(「資産台帳」がなければ減価償却の計算も資産の把握もできないのと同様に、「個人情報台帳」がなければ、適正な管理などできようがありません。そもそも流出の事実すら確認できないという事態が生じかねません)。かかる作業は大変手間を取るものですし、法律に作成が義務づけられている訳ではありませんが、必要です。