個人情報の管理に改めてご注意ください!!

ここ最近、やたらと情報流出に関する報道が多いような気がしませんか? つい最近も、大手数社の保険代理店を以前務めていた男性のパソコンから顧客情報が流出したというニュースや、年金事務所がウイルス攻撃を受けて情報流出したニュースなどが話題になっています。 昨年も、記憶に新しいところで、ベネッセの個人情報流出なんて問題もありました。 ここまでのお話で皆様お分かりのように、個人情報の適正な管理は、事業者の急務となっています。今回、改めて「個人情報」の取り扱い方を考えてみましょう!!

(1)そもそも個人情報とは??

日本では、個人情報保護法という法律によって、個人情報の扱い方が規制されています。

この法律では、「個人情報」を、「生きている個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により「特定の個人を識別することができるもの」と定義しています。防犯カメラの映像や通話記録等の音声情報、自社の従業員の情報なども、上記定義に当てはまる限りで、ここでいう「個人情報」に含まれる可能性があります。

また、「個人情報データベース等」という用語の理解も重要です。これは上記「個人情報」を体系的に整理し、特定の個人情報を容易に検索できるように構成した情報の集まりをいいます。

一瞬何のことかよくわかりませんが、よくあるコンピュータ上の住所録や顧客名簿などは、おおむねこれに含まれると思います。紙媒体の情報でも、氏名の五十音順や、住所などで分類整理されている場合には、これに含まれる可能性が高いです。

このように、実は、どんな業種であっても、知らず知らずに「個人情報」を管理していることが多いのです。まずはこの点を幅広い業種の方に理解して頂くことが重要だと思います。「最近のニュースは必ずしも他人事ではない!!」ということです。

(2)個人情報に関する規制

個人情報保護法の規制の対象となるのは「個人情報取扱事業者(民間で、個人情報データベース等を事業に反復継続して利用している方をいいます。営利・非営利は問いませんので注意が必要です。)」と呼ばれる方達です。

個人情報量が5,000人を超えるという基準がありますが、従業員や潜在顧客などの情報も合わせると、何も大企業でなくても、「個人情報取扱業者」に含まれてしまう可能性があります。

同法による規制は、様々ですが、いくつか例をあげると…

  1. 利用目的の特定と情報取得の際の利用目的の通知、
  2. 利用目的達成に必要な範囲で情報の正確性等の維持に努めること、
  3. 安全管理のために必要かつ適切な措置を講ずること
  4. 第三者への提供の制限

などが重要です。

法律上、外部委託先を監督することも求められますので、ベネッセの件のように、委託先の外部社員から流出することがないよう、委託先も吟味する必要があります。

(3)個人情報が漏れるとどうなる?

上記規制に違反した場合には、行政からの是正勧告・命令・罰則等が予定されています。

また、情報の管理を誤って顧客等に損害(ここでは精神的な損害、すなわち「慰謝料」も含みます。)を生じさせた場合、損害賠償請求をされるリスクもあります。上記個人情報取扱業者に当たらない場合でも、漏洩した情報内容、漏洩の状況等の具体的な事情によっては、情報を漏らされた当事者との関係で、損害賠償義務を負いうる可能性があるため、注意が必要です。

(4)どこから情報が漏れるか?どのような対策が必要か?

流出ルートとしてとにかく多いのは、従業員や元従業員などの内部からの流出です。

このような事態を避けるため、情報媒体の保管場所に鍵をかける、データベースへのアクセス制限をかける、情報の持ち出しを人・場所・時間などの単位で制限、管理することなどが必要です(詳細については、各省庁のガイドラインが参考になります。)。日本では、特に不注意による流出が多いとされていますので、私見になりますが、特に、①外部に持ち出す情報は必要最小限に管理すること、②情報流出の危険性を従業員に徹底して理解してもらうことが重要だと思います。

(5)最後に

個人情報は、事業を営む上で必要不可欠なものとなっていますが、保険代理店からの情報流出は、氏名や住所等の典型的な個人情報だけではなく、事故に関する情報や傷病歴など、人が通常他人に知られたくないセンシティブな情報を流出させるおそれがあるため、万が一流出した場合に騒ぎが特に大きくなりやすいです。

今回のお話をきっかけに、事業全体や各従業員の情報管理体制を改めてチェックして頂くとともに、情報漏洩に関する賠償保険をリスク管理として顧客の方々にもお勧め頂けると幸いです。

(文責:弁護士 三井伸容)