個人情報の種類とは?情報漏洩しないための対処法

個人情報保護法は、個人情報の適正な取扱方法の基本的な部分を規定しており、個人の権利利益を保護するための法律です。

主に、個人情報の利用目的の特定は従業者の監督などの、個人情報取扱事業者が守るべき事項が定められています。

以前は、取り扱う個人情報の件数が過去6か月以内のすべての日において5000件を超えない事業者は個人情報保護法の適用除外となっていました。

しかし、平成27年の法改正によって、この適用除外は認められなくなり中小企業でも個人情報保護法に対応することが求められることになりました。

1.個人情報の種類

(1)要配慮個人情報

要配慮個人情報とは、人種・信条・病歴・犯罪歴など、取扱いに配慮を要する個人情報のことをいいます。

取り扱いを誤ると、差別や偏見が生じるおそれがあります。

要配慮個人情報は、取得にも、第三者への提供にも本人の同意が必要です。

(2)匿名加工情報

匿名加工情報とは、近年、利用の方法が議論されている、いわゆるビックデータのことです。

匿名加工情報は、特定の個人を識別できないように、個人情報を加工した情報ですから、厳密には個人情報とはいえず、自由に利用することができます。

ただし、匿名加工情報の利用には、個人情報保護委員会の定める基準委従った加工をしたり、作成した情報の項目を公表したりする必要があります。

(3)特定個人情報

特定個人情報とは、マイナンバーの内容を含む個人情報です。

利用できる範囲は社会保障や税金の手続など、法律によって厳格に定められています。

本人の同意があっても、法律で定められた利用目的の範囲を超えて特定個人情報を利用することは禁止されています。

2.個人データの安全管理義務

個人情報を取り扱う事業者は、「安全管理のための措置」をとる義務があります。

安全管理措置とは、個人情報の漏洩などが生じないようにするための体勢を整えることです。

必要かつ適切な安全管理措置がとられていない状態とは、経済産業省のガイドラインによると、個人データが誰でもアクセスできるホームページ上に放置していたり、CD-Rなどに保存している個人情報のバックアップデータを社員が何の制限もなく持ち出せる状態にしていたりすることをいうとされています。

さらに、ガイドラインでは、安全管理措置を果たすために、①情報管理の責任と権限を決めたり、マニュアルを作成すること(組織的安全管理措置)、②従業員に安全管理の教育、訓練をすること(人的安全管理措置)、③情報保存場所の入退室や保存している媒体(CDやHDなど)の管理(物理的安全管理措置)、④個人データへのアクセス制限や不正ソフトウェア対策などの技術的な安全管理(技術的安全管理措置)を実施すべきとしています。

3.情報漏洩するとどうなるか

平成27年の個人情報保護法改正では、刑事上の罰則の強化が行われました。

その他にも、損害賠償義務が発生するという民事上のリスクや、信用低下等の事実上のリスクもあります。

(1)直接的な損害

刑事罰(懲役又は罰金)
損害賠償義務(1人あたり数千円から数万円程度)

(2)間接的な損害

信用低下(取引停止や新規取引の減少の可能性)
復旧費用(原因究明や対策をとるための社外エンジニアの費用)
業務への支障(苦情処理、問い合わせへの対応)

このようなリスクに備えるために、どのような対策が必要でしょうか。

(1)予防的対策

まず、そもそも情報漏洩が起きないような体制作りが必要です。

組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置のいずれも、外部の法的、技術的な専門家の監査・アドバイスを入れ、必要かつ十分に行われているかを随時確認することが重要です。

(2)緊急時の対策

どれだけ予防的対策をとっていても、情報漏洩のリスクはゼロではありません。

情報漏洩があった場合には、どのタイミングでどのようなフォローをするかが重要です。

情報漏洩に対する謝罪や補償のタイミングを誤ると重大な信用問題となりますので、非常に繊細なタイミングの判断が必要です。

情報漏洩後の一挙手一投足で会社の存亡にかかわることも少なくないので、すぐに専門家に相談して、信用問題が最小限となるよう対策をとることが重要です。

個人情報というと、顧客や取引先といった会社外の個人情報を連想する方が多いかと思います。

しかし、社内の従業員の情報管理も必要です。

(1)マイナンバーの管理は外部委託できる

社員の個人情報の管理をも全て社内で行うとすると、事業者にとっては負担が大きいでしょう。

そこで、マイナンバーに関する情報を取り扱う事業者は、マイナンバーについての事務(個人番号関係事務や個人番号利用事務)を他の業者に委託することができます。

(2)委託先の責任は自社の責任

ただし、本来、マイナンバーの管理は自社で行うべきものです。

そのため、マイナンバーに関する事務の外部委託を行う場合、委託した企業は委託先の監督をしなければならず、委託先がどのような体制で、マイナンバーに関する情報を取り扱っているのかを、常に把握できるように報告を求めることが必要です。

(3)再委託もできる

マイナンバーに関する事務の委託を受けた事業者が、更に他の事業者に再委託をすることもできます。

この場合、委託先の事業者は、再委託先に監督責任を負います。

(4)外部委託する際の注意点

このように、マイナンバーに関する事務の委託をする際には、委託先に入念な注意を払わなければなりません。

では、どういった点に注意を払えばいいのでしょうか。

まず、委託先を入念に選定することが重要です。

元々、適切な情報管理体制をとっている委託先であれば、監督をすることも容易ですし、情報漏洩のリスクも最小限に抑えられます。

次に、委託先との間で、十分な情報管理が行われるよう、契約を交わします。

その上で、委託先で提供した個人データが安全に配慮した扱いを受けているかを、定期報告や監査などの形で把握しなければなりません。

委託先の選定にあたっても、委託先選定後の契約締結にあたっても、法的に適切な情報管理が行われるために必要十分といえる必要があります。

特に、マイナンバーは今後より一層重要かつセンシティブな情報として取り扱われていくでしょうから、情報管理体制が適切になされるような仕組みを契約書の形で作る必要があります。

そのような契約書は専門的知識が必要ですから、専門家に意見を求めたり、作成を依頼したりするなど、慎重に作成するべきです。