個人情報保護法ガイドラインから学ぶべき「個人情報の基礎」と違反防止策について
- INDEX
-
個人情報を取り扱う企業や組織であれば、従業員全員が個人情報保護法ガイドラインで定められている「個人情報」を理解しておくべきと言えます。
しかし、雇用する側が個人情報の定義を知らず、従業員の個人情報に関する情報の共有や理解が不足していると、個人情報の取扱いを軽んじてしまう可能性が高まります。結果として個人情報保護法に違反するだけでなく、重大なセキュリティインシデントを引き起こす要因になるため非常に危険です。
今回は、個人情報保護法ガイドラインから学ぶべき個人情報の基礎と違反防止策についてお話します。
個人情報保護法ガイドラインから学ぶべき個人情報の基礎
はじめに個人情報保護法ガイドラインから学ぶべき個人情報の基礎をご説明します。
なお、この記事ではあいまいになりがちな個人情報の本質的な意味の理解と、「情報漏洩しない、させない」という視点での違反防止策の説明です。個人情報保護法の全体像や詳細については、下記URLより、各種法令やガイドラインをご参考ください。
また、この項目については下記URLを参考に作成しておりますので、詳細や原文を閲覧したい方は下記URLを参照願います。
参考:個人情報保護委員会 - 個人情報の保護に関する法律についてのガイドライン
(通則編)
個人情報
個人情報保護法ガイドラインでは、個人情報とは生存する個人の情報を指すものと定義されています。
・氏名
・性別
・生年月日
・住所、居所
・連絡先(電話番号、メールアドレス)
・勤め先や会社における職位や所属関する情報
・個人を識別できる音声録音及び映像情報
・情報を重ねることで個人を特定できる情報
・公にされている特定の個人を識別できる情報
上記は個人情報に該当する一例ですが、主としてひとつの情報のみで個人を特定できるもの、もしくは関連や紐付けによって、情報が積み重なることで個人を特定できるものと言えます。
例えば、氏名はわかっていなくても、性別・年齢・住所・勤め先がわかっていれば、どこの誰かわかるのであれば、それは個人情報に該当するということです。音声録音や映像情報もしかりであり、何らかの形で個人が特定できる情報やデータは全て配慮する必要があります。
個人識別符号
個人識別符号とは、数字や英語の羅列、もしくは身体的な特徴を示すデータなど、単体で個人を特定できる符号を指します。
・DNA情報
・顔や体など身体的特徴や容貌
・眼球の虹彩の模様
・声帯の振動、声の質
・歩行の姿勢や動作、癖
・手のひらや指の静脈の形状
・指紋、掌紋
・上記を含む、組み合わせることで本人を認証できるデータ
・クレジットカード、銀行、保険証、運転免許証の番号
上記は個人識別符号に該当する一例ですが、直接的に氏名には結びつかなくても、データによって個人が特定できるものは個人情報だということがわかります。その他、保険証や運転免許証の番号など、番号だけでは特定の個人には結びつかないが、データベースにアクセスすれば個人を特定できるものも個人情報です。
要配慮個人情報
要配慮個人情報とは、その情報によって個人が不当な差別や不利益が生じる恐れのある情報であり、特に配慮を要するものを指します。
・人種
・信条
・社会的身分
・病歴や心身機能の障害
・犯罪の経歴
・犯罪により害を被った事実
・一部の健康診断の結果や診療、調剤の履歴
・被疑者や被告人としての情報
上記は要配慮個人情報に該当する一例ですが、第三者がこれらの情報を知った場合に不当な差別や不利益を生む可能性があることがわかります。これらは企業や組織として顧客およびユーザーから情報を預かる場合だけでなく、雇用主と従業員という関係性において情報を預かっている場合にも要配慮すべき個人情報と言えます。
個人データ
個人データとは個人情報データベースなどを構成する個人情報を指します。個人情報データベースなどから外部記録装置に保存した個人情報、もしくは紙ベースの帳票に印字された個人情報が個人データです。
「個人情報を漏洩させない」という視点の違反防止策
次に個人情報を漏洩させないという視点の違反防止策をご紹介します。
なお、本人に同意を得た上での第三者機関および他社への個人情報の提供等については触れておりませんので、詳しくは下記URLをご参照ください。
参考:個人情報保護委員会 - 個人情報の保護に関する法律についてのガイドライン
(通則編)
個人情報の受け取りや利用の範囲を把握する
個人情報の基礎でお伝えしたことを意識しながら、個人情報の受け取りや利用の範囲を把握することから始めましょう。単に氏名や住所だけでなく、契約や申し込み、相談や商談などの際に得たメモ書きのようなものの中にも個人情報に属する情報があるものとして精査すべきです。
また、営業職や販売職の場合、商談や交渉、コミュニケーションのために情報収集することがあります。これらの情報については把握しにくい可能性が高いですが、透明性を確保するため、属人化を防ぐためにも情報の提供と共有がなされる仕組みやルール作りを徹底しましょう。
個人情報を含む業務で扱うデータを厳格かつシステム的に一元管理する
そもそも、個人情報だけでなく、企業や組織として業務で扱うデータも情報漏洩すべきではないと言えます。だからこそ、個人情報を含む業務で扱うデータ全般を厳格かつシステム的に一元管理する必要があります。
データへのアクセス、閲覧、作業や編集など、それぞれに権限を割り当てて、必要な部署や担当、役職のみに制限すること、IPアドレス制限など物理的にもアクセス不可にすることなど情報漏洩しない体制作りが大切です。
外部からのサイバー攻撃だけでなく、内部不正対策も怠らない
情報漏洩は外部からのサイバー攻撃の印象が強いですが、実は内部不正によるケースも多々存在しています。そのため、外部からのサイバー攻撃だけでなく、内部不正を怠らないようにしましょう。
業務で利用するデバイスやネットワークの監視や管理、USBメモリや外付HDDなどの接続の拒否、各種クラウドサービスやクラウドストレージの利用の制限など、内部不正をしない、させないようにシステム的に防御しましょう。同時にPC操作ログの取得や監視など、内部不正が起きた際に検知できる仕組みも導入すべきです。
その他、外部からのサイバー攻撃への対策として、マルウェアやウィルス対策、メールの監視やウィルスの検知と駆除、ファイルや通信の暗号化など、セキュリティ全般に力を入れることをおすすめします。
まとめ:個人情報の理解と把握、そしてシステム的な管理と防御で対策しよう
今回は、個人情報保護法ガイドラインから学ぶべき個人情報の基礎と違反防止策についてお話しました。
個人情報が氏名や住所という単純なものだけでなく、単体で個人を特定できるデータ、個人の内面や外面など心身に関連する情報など多岐に渡ることが伝わったのではないでしょうか。企業や組織としても、顧客や取引先の個人情報を保護するだけでなく、従業員の個人情報を守ることが必須と言えます。
例えば、特定の従業員に対する好意や悪意に関わらず悪用されてしまうような情報も含まれることを考えると、氏名や住所でないからと軽く扱うべきでないということです。
当社の提供するIT統合管理ソフトウェア「AssetView」であれば、これらの個人情報だけでなく、企業や組織として取り扱うデータ全般の保護が可能です。個人情報保護法に違反しないための情報漏洩対策と内部不正対策の機能とともに、セキュリティ対策全般の強化が可能ですので、ぜひともこの機会にご相談、お問い合わせください。