令和2年6月12日に公布された個人情報の保護に関する法律等の一部を改正する法律案、すなわち改正個人情報保護法は企業や組織として、または雇用される従業員として対応しておくべき課題と言えます。

今回は、改正個人情報保護法に関する基礎知識や企業や組織として従業員と情報共有すべきポイント、雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことをご紹介します。

改正個人情報保護法とは

はじめに改正個人情報保護法に関する基礎知識について簡単にチェックしておきましょう。

個人情報保護法の概要

まずは個人情報保護法の基本についてご説明します。

○個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律
○基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定

引用及び参考元：個人情報保護委員会

上記が個人情報保護法の基本として掲げられている項目です。例えば、商品を注文し、届けるためには住所や氏名が必要であり、個人は自分の情報を提供することが必須となります。企業や組織においても個人情報がなければ商品の配送はできません。この際、企業や組織が配送のために個人から預かった情報の取扱いに関する義務や規程を定めたのが、個人情報保護法です。

改正個人情報保護法のポイント

改正個人情報保護法の概要において主な項目を抜粋してみます。

１．個人の権利の在り方
２．事業者の守るべき責務の在り方
３．事業者による自主的な取組を促す仕組みの在り方
４．データ利活用に関する施策の在り方
５．ペナルティの在り方
６．法の域外適用・越境移転の在り方

上記は改正個人情報保護法の主な項目です。企業や組織として対応しなければならない理由は、個人情報保護法は法律であり、ペナルティが存在するということです。各項目における改正内容とともに個人情報保護法全体を把握せず、違反してしまうことで最大1億円以下の罰金が課せられます。

例えば、取得した個人情報を本人の同意を得ずに第三者に渡したり、サイバー攻撃や内部不正などによる情報漏えいが起きたことを隠したりすると、法人の規模などに応じて高額の罰金を支払わなくてはなりません。

改正法の各項目の詳細について知りたい場合は下記URLをご参照ください。

引用及び参考元：個人情報の保護に関する法律等の一部を改正する法律（概要）

企業や組織としてどのように取り組むかの法律的な根拠となる

個人情報保護法は、実際にはペナルティがあるから守るということではなく、企業や組織において、事前に個人情報を悪用しない、させないための方針や指針の策定などに取り組ませることが目的の法律です。情報漏えいや個人を害するようなことを起こさせないため、悪意のある第三者から個人を守るための法律と言えるでしょう。

企業や組織として個人情報保護法を法律的根拠として社内規則の制定、システム的な対応やデータの取扱い権限の割り振り、データベースのセキュリティ的な保護に対応しなくてはなりません。例えば、うっかりミスやヒューマンエラー、またはサイバー攻撃で情報漏えいしてしまったり、安易に内部不正が起きないようにする必要があります。

企業や組織として従業員と情報共有すべきポイント

次に企業や組織として従業員と情報共有すべきポイントをご説明します。

内部不正も含めて個人情報の漏えいには罰則があるということ

まずは企業や組織全体で内部不正や個人情報の漏えいには罰則があるということを周知徹底しましょう。特に正社員や契約社員、アルバイトやパートなど雇用形態に関わらず個人情報を取り扱う場合に注意が必要です。安易な気持ちで内部不正を行ってしまったり、情報漏えいしたりすることで、企業や組織だけでなく、自分自身に罰金やペナルティが発生することを理解してもらう必要があります。

内部不正も含めて個人情報を漏えいしないよう取り組むべきだということ

従業員といっても正社員やパート、アルバイトも含めて雇用形態、または個人の性格の差によって職務への責任感は異なります。その上で従業員全員が内部不正を起こさない、起こさせないようにすること、個人情報を漏えいしないよう取り組むべきだということです。意識改革や周知徹底でカバーできない範囲においては、何らかの形でシステム的に監視や制限、権限などの調整で個人情報にアクセスできないような仕組みを導入する必要があるでしょう。

雇用する側と働く側の両方が「個人情報を守る」という意識を持つ

そもそも個人情報とは個人を特定し得る情報の他、複数が組み合わさることで個人を特定できる情報の塊とも言えます。氏名がわからなくても、住所と年齢、性別がわかればどこの誰か特定できる可能性があることを意味します。どんな些細な情報でも従業員が勝手に取得したり悪用してしまったりすると、場合によっては個人情報保護法違反になる可能性が高まるということです。同時に、雇用する側と働く側が個人情報を守るという意識がなければ、企業や組織として信頼してもらえなくなります。結果として顧客離れ、ユーザー離れにつながれば、企業や組織としての存続が危うくなること、自身の収入を失うということも従業員全員が意識しておく必要があります。

雇用する側がシステム的に情報漏えいや内部不正を防ぐために

次に雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことを見ておきましょう。

情報漏えい対策としての社内ルールやシステム的な取り組み

情報漏えいはサイバー攻撃や内部不正の他、作業者のうっかりミスやヒューマンエラー、デバイスやUSBメモリなどの置き忘れなどが原因になりがちです。昨今ではテレワークで働く人も増えたため、デバイスやUSBメモリなどの盗難、盗み見なども原因となるでしょう。データの取扱いに関する社内ルールの制定の他、PC操作ログの監視、アクセスログの取得など、システム的に情報漏えいが起きないようにする体制を構築することが不可欠です。

同時にサイバー攻撃への対策として、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入や更新、ネットワークの監視や攻撃の感知などあらゆる面のセキュリティ対策を行うようにしましょう。

内部不正についてはハイリスク・ノーリターンであると理解させる

内部不正については、社内ルールによる罰則の他、ハイリスクであり、ノーリターンであることを理解させましょう。情報漏えい対策と同様にPC操作ログの監視、アクセスログの取得など「誰が、いつ、何をした」かを記録されているということを示すことが大切です。ノーリターンどころかマイナスになることさえあると理解してもらうこと、到底個人一人では賠償しきれないような問題となることも周知徹底すべきです。

その他、データの抜き取りや不正なコピーを行えないよう、デバイス単位で外部記憶デバイスにデータの移動や保存できない仕組み、または物理的にUSBポートに接続できないような対策を取ることも検討してみてください。

情報漏えいと内部不正を防ぐシステムとは

個人情報を守るため、そして従業員が安心・安全に業務を遂行するためには情報漏えいと内部不正を防ぐシステムが必要です。同時にサイバー攻撃の対策も行わなくてはなりません。

当社の提供する「AssetView」であれば、情報漏えい対策、内部不正対策、サイバー攻撃対策と、個人情報を守るための仕組みが備わっています。PC操作ログやアクセスログの取得、データの権限の割り振りやアクセス制限など、個人情報及び情報資産を守るための機能が豊富です。個人情報の保護にお悩みであれば、ぜひともこの機会にご相談、お問い合わせください。

まとめ：情報漏えいも内部不正もシステムによる防御が必須

今回は改正個人情報保護法に関する基礎知識や企業や組織として従業員と情報共有すべきポイント、そして雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことをご紹介しました。

基本的にはシステム面での防御や対策と、従業員の協力による適切なデータの取扱いが個人情報を守ります。前述したように、改正個人情報保護法はペナルティがあるから守るというものではありません。顧客やユーザー、そして従業員や経営陣の安心や安全のために守るべき法律です。

単なるセキュリティ意識の向上や文書や口頭による注意喚起などの意識改革で終わらせないようにすること、必ずシステムやネットワーク、デバイス面においてセキュリティ対策することを忘れないようにしてください。