個人情報保護法の基礎知識 (5) – 取得した個人情報・個人データの管理
投稿日 : 2023年9月19日|最終更新日時 : 2023年9月19日| 秦野真衣
取得した個人データは、安全に管理する必要があります。また、管理している個人データが漏えいした場合には、個人情報保護委員会への報告や本人への通知が求められる場合があります。本稿では、個人情報の管理や漏えい時の対応について、個人情報保護法上要求されている内容を概観していきたいと思います。
シリーズ一覧
個人データの「安全管理措置」
取得した個人情報については、それらをばらばらな個人情報として保管する場合と、コンピュータ等で整理して、いわゆる個人データとして保管する場合が想定されます。なお、個人データのうち、開示等の権限を有するものについては、保有個人データと呼ばれます。
個人情報と個人データ、保有個人データの関係は以下のようなものになります。
個人情報を取得した場合、それらが漏えいしたりすることのないよう、しっかりと管理しておく必要があることはいうまでもありませんが、個人データについては、バラバラの個人情報(散在情報とも言います)に比べて、漏えいした時のダメージが大きいことから、個人情報保護法では、個人データについては、漏えい防止のための「安全管理措置」を講じなければならないこととされています。
安全管理措置の具体的な手法については、個人情報保護法ガイドライン通則編10(別添)講ずべき安全管理措置の内容において、以下の項目ごとに具体的な例が示されており、参考になるところです。
- 基本方針の策定
- 個人データの取扱いに係る規律の整備
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
- 外的環境の把握
個人データの委託先の監督
取得した個人データについては、自社内で管理・利用するのみならず、第三者に対してその取扱いを委託することも一般的です。
この場合には、第三者に委託を行ったとしても、委託元が管理責任を逃れられるわけではありません。個人データの委託元は、自らが講じるべき安全管理措置と同等の措置が講じられるよう、委託先を監督しなければならないこととされているのです。
この監督義務の具体的な内容としては、まず、①適切な委託先を選定することが大前提となります。委託先においてどのような安全管理がなされているか確認したうえで、委託先を選定することが求められます。次に、②委託契約の締結においては、取り扱いを委託する個人データの性質や業務の内容に応じて、安全管理措置の内容を盛り込むとともに、委託元が委託先の管理状況を把握できるような条項を入れておくことが求められます。また、委託契約の内容がしっかりと担保されるよう、③委託先におけるデータ取扱状況の把握を行う必要があります。具体的には、定期的な監査や報告等を行うことにより、取扱状況を適切に把握していくことが必要となります。
「安全管理措置」の公表
個人情報取扱事業者は、自らが開示等の権限を有する保有個人データについて、一定の事項を開示することが義務付けられていますが、その一環として、保有個人データに関する安全管理措置について、実際に講じた内容を本人の知りうる状態に置かなければならないとされています(法32条1項4号、政令10条1項)。
これは、必ずしもあらかじめプライバシーポリシー等で公表する必要はなく、本人の求めに応じて遅滞なく回答する方法でも構いません。
ただし、ガイドラインでは、知りうる状態に置く内容の例として、(基本方針の策定)、(個人データの取扱いに係る規律の整備)、(組織的安全管理措置)、(人的安全管理措置)、(物理的安全管理措置)、(技術的安全管理措置)、(外的環境の把握)の項目に分けて記載することを前提としており、公表しないことを選択する場合であっても、これらの項目ごとに安全管理措置を整理し、本人から求められた場合に何時でも回答できるように準備しておくことが望ましいと考えられます。
なお、(外的環境の把握)として、個人データを海外のサーバーなどに保管している場合には、国名等を回答する必要がある点には特に注意が必要です。クラウドサービス等を利用している場合は、個人データの保管状況についても確認しておく必要があります。
漏えい等の報告
上記の安全管理措置を講じたにもかかわらず、不幸にも個人データの漏えい等が生じてしまうことがあります。個人データの漏えい等が生じた場合、一定のケースについては個人情報保護委員会への報告・本人への通知が求められていますので、まずは、報告が必要な漏えい等に該当するかどうかの見極めが必要となります。
個人情報保護法に言う漏えい等には、いわゆる漏えいのほか、滅失や毀損も含まれます。滅失には誤棄や紛失が、毀損には改ざんや復元不能となることが含まれます。
個人データの漏えい等のうち、個人情報保護委員会に報告が必要とされているのは以下のケースです。
① 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
④ 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
ここでは、基本的に、本人に対する権利侵害の度合いが高いものや、悪質性が高いものがリストアップされています。不正アクセス(③)や、クレジットカード情報の漏えい(②)などが報告が必要となることは当然ですが、たとえば①の要配慮個人情報については、そもそも要配慮個人情報に該当するかの判断が難しい場合もあるため、注意が必要です。なお、実際に漏えい等が発生した場合のみならず、発生した「おそれ」がある場合についても、報告対象となっているため、注意が必要です。
また、委託先で漏えいした場合については、委託先が委託元に報告した場合は、委託先は委員会への報告義務を免れることとなっておりますが、一方で、委託先が委員会に報告したとしても、委託元が報告義務をまぬかれることはありません。特に、委託先が大手のサービスである場合は、委託先の責任であり、そちらに任せておけばよいと考えてしまいがちですが、あくまで委託元が安全管理の第一次的な責任を負っていますので、この点も注意が必要です。
個人情報保護委員会への報告は、速報・確報の2段階で行うこととされており、速報については、上記①~④のいずれかに該当する事態を知った時点からおおよそ3~5日以内に行うことが必要とされています。報告は、個人情報保護委員会のウェブサイト上から可能であり、それほど時間がかかるものではありませんが、インシデントの発生に備えて事前に連絡体制等の準備をしておくことが必要です。
本記事に関するお問い合わせはこちらから。
(文責・秦野)