法務・税務・労務などの問題解決エンジン
some system placed here.

企業の個人情報管理と個人情報保護法~その2~

  • このエントリーをはてなブックマークに追加

企業の個人情報管理と個人情報保護法~その1~

 

【③個人データ内容の正確性の確保(個人情報保護法19条)、安全管理措置(同法20条)、従業者・委託先の監督(同法21条・22条)】
 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければなりません(同法19条)。たとえば、正確性確保のために個人データの入力時に本人に照合・確認する措置を講じたり、あるいは過去の記録事項から変更がないかを本人に確認をとったりする措置を講ずるよう努めなければなりません。

 また、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(同法20条)。たとえば、ウィルス対策ソフト等が最新の状態になっているかといったセキュリティー設備の完備や、ウィルス感染予防のため怪しいメール等を不用意に開かないように従業員に教育を徹底する、重要情報へのアクセス権限を限定する等の措置を講ずる必要があります。

 さらに、個人情報取扱事業者は、従業者・委託先が安全に個人データを管理するために、必要かつ適切な監督を行わなければなりません(同法21条、22条)。ここでいう「従業者」とは、個人情報取扱事業者の指揮監督を受けて業務に従事している者をさします。そのため、正社員のみならず契約社員やアルバイト等も含まれます。
 今回のベネッセ事件では、顧客情報の管理をグループの関連会社に委託し、そこから再委託された会社の派遣社員によって顧客情報が持ち出されたものとみられています。委託先が再委託先に対して十分な監督措置を行っていたかについて、委託元がきちんと把握し適切な指導等を行っていたのかが問われるところです。

 

【④第三者への提供の制限(個人情報保護法23条)】
 個人情報取扱事業者は、以下の4つの例外を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません(同法23条1項)。
1 法令に基づく場合(1号)
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(2号)
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(3号)
4 国等に協力する場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(4号)

 また、23条2項は、次のような例外規定も設けています。

 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
1 第三者への提供を利用目的とすること。
2 第三者に提供される個人データの項目
3 第三者への提供の手段又は方法
4 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

つまり、
①利用目的に第三者提供を入れていること
②本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること ③第三者への提供の条件を「本人が容易に知り得る状態に置いている」

 という要件を満たせば、第三者に情報提供をするのに本人に通知して同意を得る必要はないということです。
 「本人が容易に知り得る状態に置いているとき」というのは、たとえばホームページ上で「本人の申し出があれば、名簿から削除する」という文言を明記する等の方法で足りることになります。

 そのため、この例外規定によって、本人の知らないところで個人情報の売却が許されることになってしまっているのが現状です。もともとこの例外規定は、個人情報の利用の有用性に配慮したものですが、運用次第では個人の利益保護をあまりに害するのではないか、という点が今問題視されているところです。法改正が予想されるところなので、今後の動向が注目されます。

 

義務違反に対する制裁的な措置

 上記の義務に違反した場合、①報告の徴収・助言(個人情報保護法32条、33条)、②勧告(同法34条1項)、③命令(同法34条2項、3項)といった制裁的措置が個人情報取扱事業者に対してなされることがあります。
 そして、さらに④命令違反者には6ヶ月以下の懲役又は30万円以下の罰金(同法56条)、⑤報告義務違反者に30万円以下の罰金といった制裁が設けられています。

 

今回の情報流出事件から学ぶべきこと

 今回の事件を受けて、個人情報の流出により、顧客への補償金支出の可能性、企業自体の社会的信用の低下、個人情報漏洩を恐れて新規顧客が減少、アルバイト等を含めた従業員への漏洩防止教育の費用など、企業に大きな損害が生じうることが改めて浮き彫りになりました。今回の事件報道を契機として、情報流出に対する社会の目がより一層厳しくなったといえるでしょう。
 スマートフォン等の急速な普及によって容易に膨大なデータを持ち運ぶことができるようになったことも、今回の情報流出の一因となりました。企業としては、このような媒体の普及に対応した個人情報の管理が適切になされているかを、再確認する必要があるでしょう。

 

参考記事:
企業が従業員の電子メールを閲覧・管理する権限
企業におけるオンラインストレージサービス利用の法的リスクと対応
BYOD(Bring Your Own Device)の法的リスクと対応

 

本記事は、2014年07月28日公開時点での情報です。個々の状況によっては、結果や数値が異なる場合があります。特別な事情がある場合には、専門家にご相談ください。
ご自身の責任のもと安全性・有用性を考慮してご利用いただくようお願い致します。


この記事のアドバイザー

yoshida 吉田秀平

弁護士

上場企業の総務・法務を担当した経験を活かして、中小企業、ベンチャー企業、スタートアップの支援をさせて頂きたく思っています。訴訟になる前に、リスクが顕在化する前に、低コストで高い効果の予防法務サービスを提供することが目標です。

  • 所属:しぶや総和法律事務所


新着記事
公式Facebookページ 公式Facebookページ
誰に何と相談していいかわからない方へ
050-7576-0762
[日本法規情報]
  • 平日10:00~20:00
  • 土日祝終日、受付のみ対応

誰に何と相談していいかわからないあなた。
私達が相談相手探しのお手伝いをいたします。

無料相談・全国対応 050-7576-0762 お電話ボタン