この記事では、よく規程の整備が求められる事項について、具体的な対応策をリスクマネジメントの観点から分析し、具体的な対応策を検討します。

今回のテーマは「個人情報の保護(取得・利用・保管・管理)」です。

リスクを検討するときには単に「個人情報の保護が重要だ」と抽象的に考えるのではなく、個人情報が保護できなかったら、つまり自団体のどの個人情報を漏えいさせしまったら、具体的に団体にどのような影響があるかという点までセットで考えることが重要です。本記事では、団体として、個人情報に関するリスクをどのように見積もり、どのように防止策を講じるべきか、検討していきます。

1 はじめに

 団体は、事業遂行の上で、支援者やボランティア参加者のみならず、職員等からも個人情報を取得し、それらを利用する場合があります。団体が後述の個人情報取扱事業者に当たる場合、「個人情報の保護に関する法律」(いわゆる個人情報保護法。以下、単に「法」といいます。)を遵守する必要があります。また、助成の申請プロセスにおいて個人情報の保護に関する項目を含んだ規程の提出が求められます。

 そこで、今回は、個人情報の取得等に関する規制の概要に触れ、それにまつわるリスク、リスクを軽減するための方策等について取り扱います。なお、個人情報を第三者に提供する場合のリスクマネジメントについては別の記事で取り扱う予定です。

2 個人情報保護法の対象及び規制の概要

(1) 法の対象

 法は、「個人情報取扱事業者」に対して、個人情報の取り扱いに関する規制を設けています。個人情報とは、生存する個人に関する情報であって、①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、又は②個人識別符号が含まれるもの、と定義されています1。氏名や年齢の他、住所やユーザー名及びドメイン名から特定の個人を識別することができる場合のメールアドレスもこれに該当します。

 また個人情報の中でも、差別や偏見につながる可能性のあるものについては、「要配慮個人情報」として特に厳しい規制が設けられています。そのため、人種や病歴、犯罪被害、前科、障害等に関する情報を扱う団体においては、特に注意が必要です。

 「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」2をいいます。「個人情報データベース等」とは、特定の個人情報をコンピュータ等を用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいい、例えば、業務の一環として、名刺やアンケート等により取得した個人情報をオンラインやエクセル等のデータベースで管理する場合がこれに当たります。そして、個人情報データベース等を構成する個人情報が「個人データ」です。

 個人情報データベース等を事業の用に供している、例えば従業員やボランティア、活動の参加者などの氏名や住所をまとめたファイルを作成し、利用しているような場合には事業の規模や営利性を問わず個人情報取扱業者に当たります。そのため、NPO法人や一般社団法人、個人であっても注意が必要です。

 なお、上記を含む法における各定義には、例外規定もあり、本記事の最後に紹介する個人情報保護委員会が、ガイドライン等で各用語の例外や具体例等について解説していますので、そちらもご参照下さい。

(2) 個人情報についての規制

ア 取得・利用の場面

 個人情報取扱事業者が個人情報を取得する際には、①利用目的の特定、②適正な手段による個人情報の取得、③利用目的の通知又は公表等の義務が課されます3。なお、要配慮個人情報については、原則として事前の本人の同意なく取得できません4

 また、個人情報取扱事業者は、特定した利用目的の達成に必要な範囲内のみで個人情報を取り扱うこととされ、違法・不当な方法による不適正な利用も禁止されます5

イ 保管・管理の場面

 個人情報取扱業者は、①個人データを正確かつ最新の内容に保つとともに、不要となった時には消去するように努める義務、②個人データの漏えい防止等、個人データの安全管理のために必要かつ適切な措置を講じる義務、③個人データの取り扱いに際し、従業者及び委託先を監督する義務、④個人データの漏えい等の際には、個人情報保護委員会へ報告する義務等を負います6。なお、法は、監督の対象として「従業者」の語を使用していますが、これは、正規雇用の従業員のみならず、パートやアルバイト、役員及び派遣社員等も含む趣旨であり、「従業員」よりも幅が広い範囲の者が監督対象となることに留意が必要です。

 また、個人情報取扱業者は、個人データの中でも、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行える権限を有するデータ(「保有個人データ」といいます)7に関しては、以下の情報を本人の知り得る状態に置かなければなりません8

(ア)個人情報取扱業者の氏名又は名称及び住所(法人にあってはその代表者の氏名)

(イ)利用目的

(ウ)本人が保有個人データの開示、訂正、利用停止等を請求する場合にこれに応じる手続

(エ)保有個人データの適切な取扱いの確保のために講じた措置

(オ)保有個人データの取扱いに関する苦情の申出先

 通常は、後述する「基本方針」や「プライバシーポリシー」の中にこれらの情報を記載することが一般的です。なお、例えば、団体自らが個人データを取得するのではなく、委託先として個人データの保管をする場合、その団体は本人から開示等の請求を受けてもその請求に応じる権限がありませんので、当該個人データは保有個人データには当たらないこととなります。

3 個人情報保護に関わるリスク

(1) リスクの発生可能性

 以下のような場合には、法令違反の発生可能性が高いか、高まる環境にあるといえます。

  • 個人情報保護に関する基本方針・規程・チェックリストがない
  • 個人情報保護に関する従業者教育を行っていない
  • 団体内で、個人データの保存されたコンピュータ・ファイル等にパスワードが設定されていない
  • 個人データの保存されたコンピュータに誰でもアクセスできる環境になっている
  • 私物端末で個人データを取り扱うことが可能又は容易になっている
  • 個人データが保存された端末(USB等)を持ち出すことが可能又は容易になっている
  • 個人データを取り扱う端末に適切なセキュリティ対策が施されていない/最新の状態に更新されていない

(2) リスクの影響度

 個人情報の漏えい等の法令違反が生じた場合、以下のような影響が考えられます。

  • 行政からの指名停止や企業からの契約解除等をされ、受託ができなくなるおそれ

個人情報の漏洩が生じた場合、指名停止を受けてしまい行政からの受託を一定期間制限されたり、企業との契約をしている場合には企業からの契約が解除されたりするおそれがあります。

  • 個人情報保護委員会から行政指導等を受けるおそれ

法令違反行為又はその疑いがある場合には、個人情報保護委員会が行政指導等を実施します9。これらに違反した場合には拘禁刑・罰金10の刑事罰が課される可能性もあります。

  • 民事訴訟等において対応する必要

漏えいした情報に関し、そのご本人から、損害賠償請求訴訟等が提訴された場合に、これに対応する必要が生じます。

  • 社会的批判や社会的信用の低下

漏えいの事実や法令違反が公表された場合は、社会的批判を受けると同時に団体の社会的な信用が低下する可能性があります。

 法令違反により、行政指導や訴訟に対応する必要が生じた場合、相当な労力を割かなければならないことが想定される他、損害賠償請求が金銭面で経営を圧迫するおそれもあります。また、個人情報保護体制の不備は助成を受ける過程でマイナスの評価を受けると想定されます。

 以上のとおり、リスクの発生可能性は団体が扱っている個人情報の内容及び量や体制整備状況により低から高まであると考えられます。一方で、法令違反時の影響度は、特に行政からの受託を受けている場合には直接的な損害(受託の失注)につながりますので、高と整理することが多いと考えられます。

4 具体的リスクへの対策

(1) 現状の把握

 団体は、まず、自らが扱う個人情報について精査し、それに基づき不足部分の体制整備を図ることが考えられます。

 精査の取り掛かりとしては、事業のために取得する個人情報にはどのようなものがあるのか(例えば、要配慮個人情報を含むのか等)、どのように個人情報を取得しているのか(例えば、ウェブ上なのか、書面なのか等)、現状の利用目的又は今後可能性のある利用目的としてどのようなものが考えられるのか、個人情報を保管・管理する媒体はどのようなものか(例えば、エクセルなのか、オンライン上なのか、紙媒体なのか等)、どの範囲の従業者が個人情報を取り扱っているのか等を洗い出す作業をすることが有効です。

(2) 基本方針・規程等の整備

個人情報保護に関する基本方針は、団体の個人情報取扱いに関する方針を対外的に公表するものです。その項目としては、「団体の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」を定めることが挙げられています9

 なお、基本方針と似て非なるものとして「プライバシーポリシー」があります。プライバシーポリシーは法律に定義された用語ではありませんが、その中に基本方針を含め、法を充足するための様々な事項を含めることができます(当団体のプライバシーポリシーも参考にしていただければ幸いです。)。

団体が、基本方針やプライバシーポリシー作成していない場合、又は作成しているがホームページ上などで公表していない場合、まずはこれらを定め、それを公表することによって団体内における個人情報保護に関する意識の強化を図ることが重要です。

 また、団体は、法令に基づき、団体の規模や取り扱う個人情報の量等に応じた個人情報の取扱いに関する規程を策定することで、適切な管理体制を整備する必要があります。特に、私物端末での個人情報の取扱いや、個人データが記録された媒体を職場外に持ち出すことを禁止する等、基本的なルールを策定することが重要です。

(3) 教育

 個人情報の漏えい事故は、外部からの不正アクセスのみならず、作業・操作ミスや確認不足による誤配送・誤交付、誤送信等の人的ミスによっても多く発生しています。個人データを実際に取り扱うのは生身の人間ですから、規程やチェックリストの策定にとどまらず、その内容を遵守させるために、個人情報を取扱う従業者に対し、その内容を周知し、日々の業務で漏えいが起こらないよう意識してもらうことや、漏えいが生じた場合にどのように対応する必要があるかイメージしてもらうことが重要です。

(4) 個人情報取扱いの環境

 個人データが保管されている媒体(USBや書類等)の紛失・盗難防止対策がなされているか、個人データを利用する必要がなくなったときにデータ削除やシュレッダー処理により物理的に消去する体制が整えられているか等を確認する必要があります。

(5) 不正・不要なアクセスを防ぐための方策

 個人データを扱うコンピュータやファイルにパスワード等による管理がなされ、かつ必要のない従業者によるアクセスが制限されているか、外部からの不正アクセスを防止するためにセキュリティ対策ソフトウェアが導入され最新の状態にアップデートされているか等を確認する必要があります。

5 個人情報保護に関わる費用

 個人情報保護に関わる費用としては、以下のものが考えられます。

  • 基本方針や規程等の整備を弁護士等の外部専門家に依頼する際の費用
  • 新たにセキュリティ対策を導入する際は、その導入費用
  • (紙媒体で個人データを保管している場合)施錠できるキャビネット等の設備の導入費用
  • 業務の性質上、大量に個人情報を取り扱うことが予想され、漏えいのリスクが大きい団体においては、個人情報漏えい保険の加入費用

 なお、漏えい等の有事の対応については、弁護士費用の他、訴訟費用・損害賠償費用等、多くの費用が掛かると想定されます。

6 参考となるウェブサイトなど

 個人情報保護委員会のウェブサイトでは、ハンドブックやマンガ、動画などで分かりやすく個人情報保護法について解説していますので、導入としてご覧いただくと参考になるかと思います。

また、基本方針や規程等の整備にあたり、依頼する弁護士等に思い当たる方がいらっしゃらない場合、BLP-Networkでは皆様の活動を応援する弁護士を紹介しています。ぜひご相談ください。

【BLP-Networkへご相談をご希望の方はコチラ】

https://www.blp-network.com/for_npo-socialsector/

 

[脚注]

  1. 法2条 ↩︎
  2. 法16条2項 ↩︎
  3. ①につき法17条、②につき法20条、③につき法21条 ↩︎
  4. 法20条2項 ↩︎
  5. 前者につき、法18条、後者につき法19条 ↩︎
  6. ①につき法22条、②につき法23条、③につき法24条及び25条、④につき法26条 ↩︎
  7. 法16条4項 ↩︎
  8. 法32条 ↩︎
  9. ガイドライン通則編10-1 ↩︎

(江間裕子)