TOP
コラム
個人情報取扱事業者とは何か？個人情報をシステム面で保護するために必要なこと

個人情報取扱事業者とは何か？個人情報をシステム面で保護するために必要なこと

2021.11.30

INDEX

個人情報保護法において「個人情報取扱事業者」とは個人情報を取り扱う企業や組織を指します。顧客の個人情報だけでなく、従業員の個人情報も該当するため、ほぼすべての企業・組織が対象であることから、個人情報取扱事業者としての責務を理解しておかなくてはなりません。今回は個人情報取扱事業者に関する基礎知識、そして個人情報取扱事業者としてシステム面で何を行うべきかについてお話します。

個人情報取扱事業者に関する基礎知識

はじめに個人情報取扱事業者に関する基礎知識について簡単に解説します。

個人情報取扱事業者の定義

総務省では個人情報取扱事業者を「個人情報データベースなどを事業の用に供している者」と定義しています。個人情報を簡単に説明すると個人を特定できる単一の情報、もしくは組み合わせることで個人を特定できる情報です。個人情報取扱事業者は個人情報保護法に基づく義務があります。義務を守らない場合には罰金、もしくは懲役などの罰則があるため無視することはできません。冒頭でお話した通りに従業員の個人情報も該当することから、ほとんどの企業や組織、団体など、何らかの事業活動を営んでいる場合は個人情報保護法を守る必要があります。参考元：総務省 - 個人情報取扱事業者の責務 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/05.html

個人情報を取り扱う際のリスク

個人情報を取り扱う際のリスクとして、情報漏えいや情報の悪用、データ改ざんなどが挙げられます。また、個人情報が含まれるファイルを保存したUSBメモリ、外付けのHDD/SSDの盗難など物理的なリスクも考えられます。昨今、定着しつつあるテレワークにおいても、社外や組織外で作業することで、個人情報を盗み見される可能性もゼロではありません。その他、住所や氏名など直接的に個人を特定できる情報だけでなく、社内や組織内における社員番号のような文字数列であったとしても結果的に個人を特定できるため、個人情報に該当します。そのため、個人情報と紐付いた情報であれば、細心の注意を払う必要があり、「何が個人情報保護法に該当するのか」をしっかりと理解し、確実に保護できるような管理体制の構築が必要不可欠です。

匿名加工情報及び匿名加工情報取扱事業者について

匿名加工情報とは個人情報を加工して、個人を特定できないようにした情報を指します。匿名加工情報を取り扱う事業者は匿名加工情報取扱事業者と定義されており、個人情報とは異なるルール・規則があり、個人情報と同じように適切に守らなければ罰金や懲役などの罰則があるので注意が必要です。例えば、個人情報を加工して匿名加工情報を作成したとします。そのままでは個人を特定できませんが、どのように加工したかが知られてしまうと、個人を特定できる個人情報に戻ってしまいます。そのため、社内や組織内、もしくは社外に渡すデータに匿名加工情報が含まれるのであれば、個人情報と同等に細心の注意を払う必要があるのです。

もっと知りたい！ "統合型IT運用管理「AssetView」製品資料" はコチラ >>

個人情報取扱事業者としてシステム面で何を行うべきか

次に個人情報取扱事業者としてシステム面で何を行うべきか説明します。

個人情報を含むファイルを把握できるようにする

個人情報を安心・安全に取り扱うためには、まず「個人情報が何か」を理解した上で、個人情報を含むファイルを把握することから始めましょう。同時に、業務や作業において、どのような形で個人情報を受け取り、どのように利用しているのかを明確することが大切です。また、個人情報を取得する段階においても、必要としない情報は取得すべきではないという考え方も持っておきましょう。情報量が増えれば増えるほど、個人情報の管理が煩雑になってしまうということを忘れてはいけません。その他、社内や組織内において作成した文字数列であったとしても、個人情報と紐付いていれば結果的に個人情報に該当しますので「見ただけではわからない」ような情報においても、しっかり精査・把握することをおすすめします。

ファイルへのアクセス・閲覧・編集など権限を割り当てる

個人情報を含むファイルと業務を把握した後、次はファイルへのアクセス・閲覧・編集などの権限を割り当てましょう。間違っても誰でもアクセスできるような環境にしてはいけません。必ず、自分自身のIDやパスワードでログインやアクセスすること、不要な人にはアクセスどころかファイルの存在もわからないようにしておくことが大切です。同時に、IDやパスワードの共有なども禁止することをおすすめします。IDやパスワードを共有してしまうと、誰がファイルを操作したのか曖昧になり、原因究明が困難になる可能性があるためです。後述する監視や検知を正確に行うようにするためにも、担当ごと、従業員ごとに権限やIDの割り当てを行うことを重視してください。

個人情報を含むファイルの操作を監視できる仕組みを導入する

個人情報を含むファイルおよび業務を把握し、適切に権限を割り当てた後、ファイルの操作を監視できる仕組みの導入を検討すべきです。いつ・だれが・どこで・どのように・何をした、という形で操作のログを取得し、監視する体制があれば、セキュリティインシデントが発生した際に原因究明できる可能性が高まります。同時に、何らかの操作を行った時点でアラート・検知できる仕組みがあれば、セキュリティインシデントが発生する前に対処できる可能性が高くなります。逆に言えば、管理や監視ができない状況であれば、個人情報を含むファイルを取り扱うべきではないと言えます。必ず、管理する側が監視できるようにすること、PC操作ログの取得やWeb閲覧履歴、メールの送受信履歴など幅広く監視できる仕組みと体制を整えるようにしましょう。

外部記憶領域に保存しない、させない

個人情報の漏えい、盗難、置き忘れなどの原因のひとつに「USBメモリで持ち歩いていた」ことが挙げられます。USBメモリはとても利便性が高く、業務の流れの中、もしくはテレワークのためにデータを移動する手段のひとつとして優秀なのも確かです。しかし、情報漏えいや盗難、置き忘れのようなリスクがあることを考えると、基本的には外部記憶領域に保存しない、させない方が安全です。また、シャドーITという考え方があり、従業員が勝手にUSBメモリや私物のデバイスを利用してしまうことでリスクが増大する可能性もあります。システム的かつ物理的にも外部記憶装置に保存できないようにすること、同時に管理者が把握・管理・監視できない場所にファイルを保存や編集させないようにすることを徹底しましょう。

クラウドサービスの利用制限や監視することも視野に

GoogleワークスペースやMicrosoft364など、オンライン上で業務ができるようなクラウドサービスがあります。企業活動においてごくごく当たり前に利用しているケースもありますが、IDとパスワードのみでログインできてしまうような場所に個人情報を含むファイルを保存するのは危険です。可能であればクラウドサービスの利用制限を行うこと、もしくはWeb閲覧履歴はメール送受信履歴を監視・把握できるようにして、透明性を高めつつ、内部不正やヒューマンエラーが起きにくい環境を整えましょう。これらは外部からの悪意のある第三者によるサイバー攻撃だけでなく、従業員や退職者による内部不正が起きないようにするためにも必須です。

まとめ：個人情報保護法を守るためにもシステム面の強化をしておこう！

今回は個人情報取扱事業者に関する基礎知識、そして個人情報取扱事業者としてシステム面で何を行うべきかについてお話しました。個人情報取扱事業者としての自覚を持つこと、個人情報保護法とは無関係・無縁だとは思わないことを意識してください。その上で個人情報保護法を守り、適切な個人情報取扱事業者として信頼や安心を維持し続けることをおすすめします。当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、個人情報を把握する機能、暗号化やPC操作ログの取得・監視など、情報漏えい及び内部不正の対策が強化できます。個人情報を安全に取り扱えるようにしたいとお悩みであれば、ぜひともこの機会にご相談、お問い合わせください。

もっと知りたい！ "統合型IT運用管理「AssetView」製品資料" はコチラ >>