今回は、個人情報の取扱いについてお話しします。

個人情報の取扱いの重要性については、既に皆さんご承知のことと思います。

一方で、実際に会社やNPOを立ち上げ、様々な個人情報を受け取る側になった場合に、どの程度気をつけるべきなのかについては曖昧な方もいらっしゃるかもしれません。そこで、今回は、個人情報漏えいのリスク、個人情報保護法で気をつけるべきポイント、個人情報漏えいの防止策について考えてみましょう。

1 個人情報漏えいのリスク

まず、個人情報が漏えいした際のリスクについてです。

いくつか挙げられますが、特に問題といえるのは、「信用の喪失・低下」といえるでしょう。具体的には、既存の取引先(顧客、寄付者、支援者等)との間で支障が生じるのはもちろんのこと、潜在的な取引先を失うことにもつながります。さらに、このような信用の低下に伴って、対内的に従業員やスタッフのモチベーション低下も生じます。

そのほかにも、個人情報漏えいの「事後対策費用」として、調査、解明、謝罪等に多くの時間・金銭的コストが生じることになります。また、「民事上の損害賠償責任」を追及される可能性もあります。

2 個人情報保護法について

次に、個人情報の保護に関する法律(以下「個人情報保護法」といいます)で気をつけるべきポイントについて考えてみます。

個人情報保護法は、個人情報取扱事業者(5000人分を超える個人情報を、紙媒体・電子媒体を問わず、データベース化してその事業活動に利用している者をいいます)を対象として義務規定を定めています。上記事業者は、会社だけではなく、NPOや個人事業主も含まれます。

また、各省庁が業界ごとに、個人情報保護法とは別に、ガイドラインを定めている場合もあります。

仮に、皆さんの会社やNPOが、個人情報取扱事業者にあたらないとしても、将来的には該当する可能性がありますし、個人情報の管理の重要性は変わらないので、以下参考にしていただけたらと思います。

個人情報保護法の遵守にあたって、特に気をつけていただきたい点は、①個人情報の利用目的と②個人データ(個人情報のうちデータベースを構成するもの)の第三者提供についてです。

(1)個人情報の利用目的

まず、個人情報の利用目的についてです。例えば、ウェブサイト上のプライバシーポリシーにおいて、「当社事業活動のため」といった抽象的な利用目的の記載を目にすることがありますが、これでは利用目的の特定としては十分とはいえません。具体的に「●●のアフターサービスや新サービスの告知のため」といったような記載、利用目的の特定が必要となります。

また、当該利用目的については、ホームページやパンフレットに記載するなどして、個人情報を提供した本人が、知り得る状態にしておかなければなりません。さらに、原則として、特定された利用目的の範囲を超えて、本人の同意なく、情報を利用することもできません。

(2)個人データの第三者提供

次に、個人データの第三者提供についてです。原則として、本人の同意を得なければ、第三者に個人データを提供することはできません。もっとも、個人データの入力や宅配業務などにおいて委託する場合や、合併等の事業承継による場合等には、「第三者」に該当しないものとされています。その他に、法令に基づく場合などいくつか例外規定もありますので、詳しくは法律専門家にお尋ねください。
以上のように、個人情報の目的外利用や個人データの第三者提供については、原則として本人の同意が必要となりますので、ご注意ください。

3 個人情報漏えいの事前防止策

最後に、個人情報漏えいを事前に防止するにはどうすれば良いかについて考えてみましょう。そもそも、個人情報が漏えいする原因は、郵送・メール・FAXによる送付ミス、書類・データの紛失といった不注意に基づくものから、不正アクセスや盗難といった第三者の故意に基づくものなど様々です。したがって、事前防止策としても様々な側面から考えなければなりません。以下、組織的側面、人的側面、技術的側面、物理的側面それぞれから考えます。

(1)組織的な側面

個人情報の取扱いに関する社内規程の整備等が挙げられます。具体的には、どのような個人情報を、どの程度取り扱っているのかを一覧表にすることや、個人情報の保管期間や保管期間経過後の取扱いはどうするのかについて、事前に明らかにしておくことなどです。

(2)人的な側面

従業員に対する上記規程の周知徹底や教育などが挙げられます。また、ボランティアスタッフやインターン生に対しては、どこまで個人情報について関与させるのかについても考えておく必要があります。さらに、個人情報のデータ入力などで委託する場合には、委託先の適切な選定、契約書の締結、委託先へ不必要な個人情報を提供しないことも重要です。

(3)技術的な側面

技術的な側面としては、ウィルス対策ソフトの導入、個人情報へアクセスできる者をできる限り少なくする、個人情報へのアクセス状況を監視できるような体制を整えること等が考えられます。

(4) 物理的な側面

物理的な側面としては、個人情報を取り扱う部屋の入退室を管理することや盗難等を防ぐために施錠やパスワード設定を徹底すること等が挙げられます。

以上のような防止策が考えられますが、万が一漏えいしてしまった場合には、事実関係を調査し、漏えいした情報の内容、範囲等を把握したうえで、本人への謝罪をすることがまず重要となります。また、主務大臣への報告や公表の必要性については、法律専門家に相談するのが望ましいでしょう。

以上

弁護士 吉村祐一