株式会社唐沢農機サービス ロゴ

2022/09/02

個人情報保護の重要性について

法務担当・IPO準備室の町田です。今回は、個人情報の重要性や漏洩防止策について紹介しています。

1 個人情報保護の重要性

(1)漏洩の実態と改正点

近年、個人情報の漏洩が相次いでおり、2021年には過去最多となる120社、137件(574万9,773人分)の漏洩事故が発生しています。

2022年4月から改正個人情報保護法が施行されており、個人情報の取り扱いについては、企業運営を行う上でも重要課題の一つとなりつつあります。

すでに2015年の改正により、個人事業主も含む、ほぼすべての事業者が個人情報保護法の適用を受けるため、中小企業、ベンチャー企業も無関係ではありません。

本記事では、漏洩発生の原因やその損害を踏まえ、事業者がとるべき具体的な防止策について紹介したいと思います。

(2)漏洩の発生原因

漏洩の主な発生原因は、従業員による意図的または不注意によるもの、第三者による不正アクセス、サイバー攻撃、ウイルスソフトへの感染などです。

以前は、従業員の意図的または不注意による漏洩が多かったのですが、昨今は、半数近くが第三者による不正アクセスやサイバー攻撃によるものです。ただし、少なくなってきたとはいえ、従業員による誤送信および誤表示が約30%、紛失および誤廃棄が約10%となっており、不注意による漏洩もまだまだ多く発生しています。

対策を講じる場合には、このような漏洩リスクを把握したうえで、各リスクに適した対策が必要となります。

(3)漏洩した場合の損害

個人情報が漏洩した場合の損害としては、賠償金などの経済的損失だけでなく、社会的信用低下による顧客離れ、取引先からの取引停止へとつながり、多大な損失を受けるおそれがあります。

賠償金の金額は、漏洩した情報の内容により異なります。

漏洩した情報が、個人の氏名や連絡先等の基礎的な情報である場合には、一人あたり3000~5000円が認められることが一般的といえます。

しかし、漏洩した情報が、エステ利用歴など、通常は他人に知られたくない情報、すなわち秘匿性が高い情報の場合には、1人あたり22,000円の賠償金が認められた事例もあります(TBC顧客アンケート漏洩事件:東京地方裁判所平成19年2月8日判決)。

上記事例は、情報が漏洩したという1次被害に対する賠償ですが、漏洩した情報が利用されてしまった2次被害が確認できた場合には、1人あたり35,000円の賠償金が認められています(同事件)。

多くのケースでは、何千、何万件という単位で漏洩するため、賠償金だけでも多大な金銭的損失を受けるおそれがあることになります。

2 具体的な漏洩対策

個人情報保護法やガイドラインでは、具体策の内容については各事業者に委ねられている部分が大きいため、各事業者の規模や業種に応じた対策を検討する必要があります。

一般的には、事業者が講じるべき漏洩対策として、以下のような具体策が考えられます。

(1)社内規程・取り扱いマニュアルの策定

プライバシーポリシーを定めている事業者は多いでしょう。ただ、プライバシーポリシーは、個人情報の取得や利用方法について定められたものであり、社内で、個人情報をどのように取り扱うかを定めたものではありません。

そのため、プライバシーポリシーだけでは充分ではなく、社内規程や社内マニュアルを作成する必要があります。

社内規程において定めておくべき主な内容は、以下のとおりです。

①個人情報の取扱責任者(漏洩対策を実施する責任者の権限)

②個人情報を取り扱う部署(所管部署以外の社員による閲覧・利用の禁止)

③個人情報を取り扱うPC等の電子機器の利用・管理に関する規定(盗難防止、ファイル等のダウンロード禁止・ウイルス対策ソフトの義務化・持ち運びに関する規制)

④個人情報が記載された文書の管理・利用・破棄に関する規定(持ち運び禁止、利用区域の設定、コピー禁止など)

⑤電子メール、FAXの利用に関する規定(パスワードの設定、二重によるチェックなど)

⑥外部委託に関する規定(委託先の選定・条件、委託先への監視措置など)

⑦不正アクセス、サイバー攻撃への対策(パスワードの定期更新、対策ソフトの導入など)

⑧漏洩した場合の対処方法(個人情報保護委員会への報告、原因究明、改善策の策定など)

⑨苦情・開示請求に対応する窓口

(2)定期的な社員研修

社員が社内規程の内容を正しく理解している必要があるため、定期的な研修や教育を行うことも重要です。

研修だけでなく、理解度を試すテストを定期的に行っている事業者も多いです。

(3)定期的な監査(監視)

個人情報の取り扱い・運用方法が、規程・マニュアルに従っているかどうかを定期的に監査する必要があります。

チェックリスクを定め、事業部門に対して抜き打ち監査を行い、監査結果を社内開示し、全社員に自社の実態を把握してもらうことも重要です。

規程が遵守されていない場合には、その原因を分析し、必要に応じ規程の改訂を行うなど、業務にあわせて規程を対応させていくことも検討する必要があります。

(4)再発防止策(是正)

個人情報漏洩を把握した場合には、ただちに被害内容を調査する必要があります。漏洩の原因を速やかに特定し、被害拡大を防止します。

また、再発防止策を定めたうえで、社内に開示することによって、社内全体の遵守意識を高めることができます。

さらに、漏洩が従業員の故意、過失による場合には、然るべき懲戒処分を行うことも重要です。氏名は伏せた上で、処分内容を社内開示し、社内の秩序を維持することも検討すべきです。

3 まとめ

個人情報の漏洩の防止策は、各事業者の実態にあわせて策定する必要があり、定型的なマニュアルなどがあるわけではありません。そのため、策定後も常に改訂を行い、漏洩防止に有効であり、かつ業務効率を低下させない方法を模索していく必要があります。

以上、今回は、個人情報保護の重要性と漏洩対策について紹介しました。

 

当社では、事業拡大に伴い、法務スタッフをはじめ多様な人材を幅広く募集しております。 テクノロジーを使い、世界の農業を変えていく企業を目指しております。 

ご興味ある方はぜひ弊社求人情報をご覧ください。会社説明会の日程は、リクルートサイトの“お知らせ”よりご確認ください。