個人情報保護法改正　－個人情報を適切に取り扱うために

どんなものが個人情報に該当するの？

そもそも、個人情報とは何でしょうか。改正個人情報保護法では、次のように定義されています。

---

「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録で作られる記録をいう。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
二 個人識別符号が含まれるもの

---

二の 「個人識別符号」とは、具体的にいうと、たとえば、本人確認に使われるマイナンバーやパスポート番号、免許証番号、基礎年金番号、住民票番号、健康保険証番号などが挙げられます。また、昨今様々な認証に用いられている顔画像や指紋、手指の静脈、DNAなども該当します。

さて、それでは、あなたの会社にはどのような個人情報があるでしょうか。

・社員など従業員の氏名、生年月日、住所、電話番号等の情報
・求人応募者の氏名、生年月日、住所、電話番号等の情報
・個人顧客の氏名、生年月日、住所、電話番号等の情報
（氏名とメールアドレスのみの会員情報等も、個人を特定できるため該当）
・懸賞・コンテスト応募者、アンケート回答者の氏名、住所、メールアドレス等の情報
・デザイナー、ライター、弁護士、税理士など個人の取引先の住所、電話番号、メールアドレス等の情報

あなたの会社でも、一つ以上は該当があるのではないでしょうか。

取り扱いのポイントは？

それでは、それらの個人情報はどのように取り扱えばよいのでしょう。
大まかにまとめると、次のようになります。

＜個人情報の取得＞
・どのような目的で利用するのか、利用目的を特定し、あらかじめ公表する。
　公表していない場合には、速やかに本人に通知、または公表する。
・人種、宗教、思想、病歴、犯罪歴、犯罪被害状況など機微な情報は「要配慮個人情報」とし、取得時には必ず同意を得る。

＜個人情報の利用＞
・特定・公表あるいは通知した利用目的の範囲内で利用する。
・取得時に公表・通知したこと以外の目的で利用したい場合には、あらかじめ本人の同意を得る。
・個人情報を第三者に委託する場合は、あらかじめ本人の同意を得る。
　また、授受の記録を取り（いつ、誰が、誰に渡したかなど）、一定期間保管する。

重大なリスク、漏えいを防ぐために

個人情報を取り扱うにあたって最も注意しなければならないのは、漏えいリスクです。
情報が漏えいしてしまったら、その個人に被害がおよぶ可能性があるためです。
たとえ件数が少なくても、マイナンバーなど漏えいリスクの高い情報を扱うわけですから、十分な注意が必要です。

特別なシステムがなくても、すぐにできる方法をご紹介します。

アクセスできる人を限定する

個人情報を誰もが閲覧したり、アクセスできる環境はよくありません。
故意の情報漏えいリスクがあるだけでなく、悪意がなくても、ついうっかり他人の個人情報を見てしまった、他の人に漏らしてしまった、などということが起こりかねません。
そこで、個人情報には、業務上それを必要とする最低限の人しかアクセスできないようにしましょう。
ただし、たとえばアクセスパスワードを知る人が1人だけの場合、その人が不在の時には情報にアクセスできなくなってしまいますから、権限保有者は2人以上設定することが望ましいです。

◎紙の情報は、鍵付きのキャビネットや引き出しなどに保管、鍵は管理者が管理し、許可された人だけが閲覧できるようにする。
◎デジタル情報は、パスワードをかけ、権限のある人しかアクセスできないようにする。

個人情報は持ち出さない、置きっぱなしにしない

業務で個人情報を扱う場合、データの入ったUSBなどの記録媒体、紙などを置きっぱなしにしないようにしましょう。業務が終了したら速やかに元の場所に戻す（USBのデータは消去する）、また、離席時には、鍵付きの引き出し・キャビネットに入れておくと安心です。
なお、個人情報をモバイル機器などに入れて持ち歩くことは、万が一の置き忘れや盗難、不正アクセス等のリスクが高まりますので、どうしても必要がある場合を除き避けましょう。家に持ち帰って作業するのもハイリスクです。

また、個人情報の持ち出しを防ぐため、USBやDVD、CDなどの記憶媒体の持ち込みは禁止し、会社が管理して使用記録をつけるなど管理すれば意識も高まります。

◎個人情報が含まれる紙、メディアを置きっぱなしにしない。
◎個人情報は持ち出さない。
◎個人情報の持ち出しを防ぐため、USB、DVD、CDなどの記憶媒体は持ち込み禁止、会社で管理する。
◎離席時にはディスプレイの電源を切る、またはスクリーンセーバーに切り替わるよう設定しておく。

メールの誤送信、同報時のメールアドレス表示に注意

個人情報漏えいの原因として最も多いのは人的ミスです。
中でもありがちなのが、メール送信時のミス。
たとえば、複数の人に同じ内容のメールを同時に送信する場合、全員メールアドレスを知りうる関係者であればよいのですが、そうでない場合、宛先を「to」「cc」に入れて送ってしまうとメールアドレスが表示されてしまうため、個人情報の漏えいになってしまいます。宛先は必ず「bcc」に入れ、非表示にして送りましょう。

また、個人情報が含まれるデータをメールで送る場合、宛先を間違えると大変なことになります。
送信ボタンを押す前に、宛先をいまいちど確認しましょう。
なお、万が一そのようなことが起こってしまってもすぐに漏えいにつながらないよう、ファイルにパスワードを付けたり、暗号化してそのまま読めないようにするなどの備えは必須です。
※ファイルを添付したメール本文にパスワードを記載すると意味がありませんので、必ず別メールで送るようにしましょう。

◎複数の宛先に同時にメールを送る場合、宛先は「bcc」に入れて非表示とする（関係者同士の場合は除く）
◎個人情報が含まれるファイルを送信する場合は、必ずパスワードを付ける、暗号化するなどして読めないようにする。また、送信前に宛先はいまいちど入念にチェックする。
※パスワードの通知は別メールで！

廃棄時には、紙はシュレッダー、記憶媒体はデータを消去してから

紙で保有する個人情報を廃棄する場合は必ずシュレッダーにかけ、そのまま捨てないようにしましょう。
また、パソコン・タブレットなどの機器や、DVDやCD、USB等の記録媒体を処分する場合、個人情報（その他の情報もですが）を消去してから廃棄しましょう。DVDやCDでデータが消去できないものは、CD用シュレッダーで粉砕する、カッターで切る、割るなどしてデータを読めないようにします。

◎紙の情報はシュレッダーで廃棄する。
◎記録媒体（メディア）はデータを消去してから廃棄する。
　消去できないメディアは切る、割る、粉砕するなど、データを読めないようにしてから廃棄する。

従業員、委託先と非開示の契約書・覚書を取り交わす

従業員や委託先が個人情報の取り扱いについて正しい意識を持たないことには、いくら対策を講じても意味がありません。
そこで、従業員には、個人情報の取り扱いに関する教育をおこなうとともに、「個人情報を漏えいしない、開示しない」ことを約束する誓約書を提出してもらったり、覚書・契約書を取り交わしましょう。これにより、意識を高め、不正の抑止力にもなります。
また、たとえばDM配信等のために個人情報を第三者に委託する場合にも、個人情報の取り扱いルールや問題が発生した場合の対処方法、漏えいがあった場合の罰則等を記した契約書、覚書を締結します。

◎従業員と個人情報非開示を約束する文書を取り交わす（誓約書・覚書・契約書など）。
◎委託先と個人情報の取り扱いルールを規定する契約書・覚書を取り交わす。

不正アクセスの防止

最後に、これはある意味不可抗力ですが、ウィルスやマルウェアな不正プログラムにより、情報が抜き取られてしまうケースもあります。
そうならないよう、ウィルス対策ソフトの導入はもちろんのこと、各従業員が、WindowsなどOSのバージョンを常に最新にする、Webブラウザのセキュリティ設定を上げる、不用意に添付ファイルを開かない、など注意することが必要です。

◎ウィルス対策ソフトを利用する（Webサイトにアクセスしたり、外部とのメール送受信をおこなうパソコンは必須）
◎OSのバージョンは常に最新にしておく
◎Webブラウザのセキュリティ設定を高くする（会社で許容しうるガイドラインを設定）
◎知らない相手から送られた添付ファイルは開かない。URLはクリックしない。知っている相手でも、唐突に送られてきた、あるいはやり取りしている内容と関係のない不自然なメールに添付されたファイルは開かない。URLはクリックしない。

徹底・維持していくために　PDCA

少し長くなりましたが、これらのことを実行するためには、社内での規定（ルール）を作り、それに基づいて運用していくことが必要です。

規定（ルール）を決める

まず、自分たちが持っている個人情報を洗い出し、その取り扱い方法について規定（ルール）を定めましょう。

・どのような個人情報があって、それらはどこに、どのように保管するか。
・その個人情報は、誰（どの部署）が管理し、どのような目的・方法で扱うか。
・破棄する場合、どのようなタイミング、方法で破棄するのか。
・何らかの事故、あるいは事故につながりかねない事態（インシデント）が発生した場合、どのように対応するか。

といったことを、まず取り決めます。

規定を周知・教育し、実行する

そして、ルールを定めても、それがきちんと守られなくては意味がありません。
規定を文書化し、周知徹底すること。規定書は、誰もがいつでも確認できるようにしておく必要があります。重要なことは、列記して掲示しておいてもよいかもしれません。
入社時にはきちんと内容を説明し、いちど説明を受けた従業員に対しても、定期的に教育の機会を設けることも有効です。

そして、各々はルールに沿って業務をおこないます。

「規定通りに運用されているか」をチェックをする

周知・教育して終わりではありません。「規定通りに運用されているか」チェックをする体制も必要です。
定期的に、各現場に対して監査や確認をおこない、その結果は記録しておきましょう。
いつ監査や確認をおこなうか、サイクルを決めておくと、機能しやすいです。

運用上問題があれば、常に見直す

決めたルールは必ずしも完璧とはいえません。
実際に運用してみたら問題点が出てきたり、外的環境が変わって実情にそぐわなくなる、というケースも考えられます。
そこで、現場をチェックした結果をみて、必要であればルールの見直しをおこないます。

このように、PDCA（Plan：計画／Do：実行／Check：評価／Action：改善）をまわしていくことによって、永続的に、安全かつ適切に運用することができます。
なお、これらの手順も規定化しておくことが望ましいです。

テンプレートBANKでは、「個人情報保護」関連のテンプレートを公開しています。
「個人情報保護書式」では、教育や監査に関する計画書や報告書、不適合報告書など、「マイナンバー」では、個人番号取得のための書式や管理台帳、拒否文書などを公開しています。
テンプレートはワード形式ですので、必要に応じて書き換えてご利用ください。
また、テンプレートは今後も追加予定です。