1. ホーム
  2. 委託先管理Blog
  3. 記事

個人情報保護法における安全管理措置とは?個人情報取扱事業者の義務を解説

個人情報を扱う企業や団体にとって、安全管理措置を適切に実践することは法令遵守の基本です。
本記事では、個人情報保護法における安全管理措置の具体的な内容と個人情報取扱事業者の義務について詳しく解説します。

目次
1. 個人情報保護法の基本概要
■法律の目的と適用範囲
■個人情報の定義と関連する用語
2. 個人情報保護法における安全管理措置とは
■必要かつ適切な措置とは
3. 個人情報保護法における安全管理措置の種類
■組織的安全管理措置とは
■人的安全管理措置とは
■物理的安全管理措置とは
■技術的安全管理措置とは
4. 個人情報取扱事業者が安全管理措置を行う際に遵守すべき義務
■利用目的の特定
■不適正利用の防止
■個人情報の正しい取得
■従業員の監督
■委託先の監督
5. まとめ

1. 個人情報保護法の基本概要

個人情報保護法は、個人のプライバシーを守るために制定された法律です。個人情報を扱うすべての事業者に対し、個人情報の取り扱いに関する基本的な指針を提供しています。

情報技術の進化に伴い情報が容易に取得できる現代において、管理不足や不正アクセスによる個人情報の漏えいは、個人のプライバシー侵害や経済的損失を招く可能性があります。そのため、個人情報取扱事業は個人情報保護法に基づく厳格な管理が求められているわけです。

 

【関連記事】

個人情報保護法とは?具体例や改正内容、違反した場合の罰則について解説

 

■法律の目的と適用範囲

個人情報保護法の目的は、個人情報の適正な取り扱いを促進し、個人の権利と利益を保護することにあります。

個人情報保護法の適用範囲は、個人情報を扱うすべての事業者です。事業者とは、個人情報を業務上取り扱う法人、団体、個人のことを指します。営利・非営利・事業規模を問わず、企業や個人事業主、学校、病院など、すべての事業者が対象です。2017年の改正個人情報保護法施行により、5,000人以下の小規模事業者や個人事業主も対象となりました。

 

■個人情報の定義と関連する用語

個人情報保護法における個人情報とは、生存する個人に関する情報であり、氏名や生年月日、住所など、特定の個人を識別できる情報を指します。(個人情報保護法2条1項)

個人情報には、その情報単体では特定の個人を識別できないものの、他の情報と照合することで結果的に個人を特定できるものも含まれます。

 

関連する用語として「個人データ」や「保有個人データ」、「要配慮個人情報」などがあります。個人データとは、個人情報のうち、データベースなどで体系的に構成された情報を指します。一方、保有個人データは、個人情報取扱事業者が一定期間以上保有し、本人からの開示・訂正の請求に応じることができる権限を持つ個人データです。

要配慮個人情報は、不当な差別や偏見などの不利益が生じる恐れがある情報を指します。要配慮個人情報が漏えいすると個人のプライバシーや差別の原因となる可能性が高いため、慎重に取り扱う必要があります。

 

【関連記事】

個人の情報とは?定義や具体例を解説

個人データとは?個人情報との違いや具体例、取り扱う際の注意点を解説

要配慮個人情報とは?定義や具体例、取扱いルールについて解説

 

 

2. 個人情報保護法における安全管理措置とは

個人情報保護法における安全管理措置とは、個人情報の漏えいや不正アクセスを防ぐために必要な対策を指します。

 

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。


引用:個人情報保護法第23条

 

安全管理措置を適切に行うことで、個人情報を扱う事業者は信頼性を高め、トラブルを未然に防ぐことができます。安全管理措置が必要な理由は、情報漏えいが発生した場合、事業者の信頼が失われるだけでなく、法的な責任を問われる可能性があるからです。

 

■必要かつ適切な措置とは

個人情報保護法第23条における「必要かつ適切な措置」とは、情報の重要性や取り扱うデータの性質に応じて事業者が講じるべき対策です。

 

個人情報保護委員会が提供しているガイドラインでは、以下の要素を考慮したうえで、「必要かつ適切な」内容としなければならないとされています。

 

  • 権利利益の侵害の大きさ
  • 事業の規模及び性質
  • 個人データの取扱状況
  • 個人データを記録した媒体の性質

 

参考:個人情報の保護に関する法律についてのガイドライン(通則編)3-4-2

 

つまり、個人情報を取り扱うすべての事業者が、一律に同じ水準で完全管理措置を行う必要はないということです。

 

 

3. 個人情報保護法における安全管理措置の種類

個人情報保護法における安全管理措置は、大きく分けると以下の4つに分類されます。

  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

それぞれの管理措置の内容について詳しく解説します。

 

■組織的安全管理措置とは

組織的安全管理措置とは、組織全体で個人情報を適切に管理するための体制やルールを整えることです。

具体的な内容としては、個人情報保護に関する方針を策定することが挙げられます。個人情報の取り扱いに関する方針が組織全体で共有されることで、従業員が日常業務で遵守すべき基準が明確になります。

また、個人情報管理の責任者を明確にし、組織内の役割分担を明確にすることも重要です。誰がどの情報をどのように管理するかが明確になり、トラブル発生時の対応も迅速になります。

 

■人的安全管理措置とは

人的安全管理措置とは、個人情報を取り扱う従業員に対し、適切な取り扱い方法を教育することです。

 

従業員への監督は、個人情報保護法第24条においても定められています。

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。


引用:個人情報保護法第24条

 

具体的には、個人情報をどのように扱うべきか、どのような場合に情報を開示してはいけないかを従業員に教育することが重要です。具体的な事例を用いた研修を定期的に行うのもよいでしょう。

さらに、情報漏えいや不正利用を防ぐための内部規定の整備も欠かせません。従業員が個人情報を扱う際に遵守すべきルールを明確にし、それに基づいて業務を行わせることで、意図しない情報漏えいを防ぐことができます。また、定期的な監査を実施し、ルールが適切に守られているかを確認することも重要です。

 

■物理的安全管理措置とは

物理的安全管理措置とは、物理的な施設や設備を整備し、不正アクセスや情報漏えいを防ぐ対策です。

例えば、個人情報が保管されているオフィスやサーバールームを施錠することで、部外者が容易に立ち入ることができないようにすることができます。

また、監視カメラの設置や入退室管理システムの導入も有効な手段です。これらの対策により、誰がいつどこにアクセスしたのかを記録し、不正行為が発生した際に迅速に対応することができます。さらに、個人情報を扱う紙媒体の資料は施錠可能なキャビネットに保管し、不要になった場合はシュレッダーで確実に破棄することも重要です。

 

■技術的安全管理措置とは

技術的安全措置とは、個人情報保護法の下で個人データを守るために、情報技術を活用して行われる対策です。具体的には、データの暗号化やアクセス制御、システムの定期的なセキュリティチェックなどが該当します。

データの暗号化とは、情報が盗まれても解読されにくくする方法です。アクセス制御は、必要な人だけがデータにアクセスできるようにする仕組みで、パスワードや二段階認証などが一般的に利用されています。また、システムのセキュリティチェックを定期的に行うことでシステムの脆弱性を発見でき、必要に応じて対策を講じることができます。

 

 

4. 個人情報取扱事業者が安全管理措置を行う際に遵守すべき義務

個人情報取扱事業者が安全管理措置を行う際に遵守すべき義務は以下の通りです。

  • 利用目的の特定
  • 不適正利用の防止
  • 個人情報の正しい取得
  • 従業員の監督
  • 委託先の監督

それぞれの義務について詳しく解説します。

 

■利用目的の特定

個人情報取扱事業者には、個人情報を取り扱う際に、利用目的を明確にし、その目的に合致する範囲でのみ情報を利用する義務があります。

 

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。


引用:個人情報保護法第24条

 

また、本人の同意を得ていない場合、利用目的以外で個人情報を利用することは禁止されています。

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。


引用:個人情報保護法18条1項

 

さらに、利用目的を本人に対して通知または公表する必要があります。

 

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。


引用:個人情報保護法21条1項

 

■不適正利用の防止

個人情報保護法では、犯罪や差別、暴力的要求など、違法・不当な行為を助長・誘発する恐れがある方法で個人情報を取り扱うことが禁止されています。

 

個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。


引用:個人情報保護法19条

 

具体的には、以下のようなケースが該当するとされています。

  • 違法行為を営むことが疑われる事業者に対し、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、個人情報を提供する場合
  • 個人情報を提供した場合、提供先において法第27条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して個人情報を提供する場合
  • 個人情報を取得した健保組合等が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合

参考:法第19条では、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないとされていますが、どのような利用が該当しますか。「個人情報保護委員会」

 

■個人情報の正しい取得

個人情報取扱事業者は、適法かつ公正な手段で個人情報を取得しなければいけません。

 

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。


引用:個人情報保護法20条1項

 

虚偽の利用目的を明示して個人情報を取得したり、第三者を脅して個人情報を取得させたりするなど、不正な手段で個人情報を取得することは禁止されています。

 

■従業員の監督

個人情報取扱事業者は、組織内で個人情報を取り扱う従業員が適切に業務を遂行できるように、しっかりとした監督体制を構築する必要があります。

 

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。


引用:個人情報保護法24条

 

従業員に対して定期的な教育や研修を実施し、個人情報の取り扱いに関する知識や最新の法令を理解させることが重要です。また、個人情報を取り扱う際の具体的な手順や注意点を明確にすることで、個人情報の誤った取り扱いを防止します。

さらに、従業員の行動を定期的に監視し、必要に応じて改善指導を行うことも重要です。例えば、アクセスログの確認や業務フローの見直しを行うことで、従業員が適切な行動を取るよう促すことができます。

 

■委託先の監督

個人情報取扱事業者が個人情報の取り扱いを第三者に委託する際には、委託先が適切な管理を講じているかを確認する必要があります。

 

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。


引用:個人情報保護法25条

 

委託先が個人情報を漏えいした場合、委託元も責任を問われる可能性があるため、委託先を選定する際には過去の実績や信頼性をチェックすることが重要です。

 

契約書には、個人情報の取り扱いに関する具体的な基準や定期的な監査を行うことを明記すると良いでしょう。さらに、情報漏えい時の対応策を事前に打ち合わせておくことも重要です。

 

 

5. まとめ

今回は、個人情報保護法における安全管理措置の具体的な内容と個人情報取扱事業者の義務について解説しました。

個人情報を適切に管理するためには、組織的、人的、物理的、技術的な観点から安全管理措置を実施することが重要です。本記事で解説した安全管理措置の内容を参考に、自社の情報管理体制を見直してみましょう。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。