4 正確性の確保等(個人情報保護法19条)
個人情報取扱事業者は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、個人データを遅滞なく消去するよう努力しなければなりません。これは、「〜するよう努力しないといけない」という義務であって、「〜しないといけない」という義務ではありません。しかしながら、事業を行っていくためには、個人データの内容は正確かつ最新の内容でないと困るでしょうし、必要がなくなった個人データを持ち続けていると、漏えいなどの事態が発生する可能性もありますので、この義務についても、できる限り対応することが望ましいといえます。
5 安全管理措置(個人情報保護法20条)
個人情報取扱事業者は、その取り扱う個人データの安全管理のために必要かつ適切な措置を講じないといけません。「必要かつ適切な措置」としては、① 基本方針の策定、② 個人データの取扱いルールの整備、③ 組織的安全管理措置、④ 人的安全管理措置、⑤ 物理的安全管理措置、⑥ 技術的安全管理措置が挙げられます。もっとも、事業者といっても、大企業から個人事業主まで様々ですから、全ての事業者が同じレベルの対応を行うことは不可能であるといえます。そこで、個人情報保護委員会のガイドラインでは、「中小規模事業者」(基本的には、従業員の数が100人以下の事業者)について、より負担が軽く実施しやすい対応方法を示しています。以下では、中小規模事業者を念頭に置いて、具体的な安全管理措置について解説します。
① 基本方針の策定とは、事業者の名称、関係する法令やガイドラインを守ること、安全管理措置に関する事項、質問・苦情処理の窓口などを定めた方針を策定することです。例えば、事業者のウェブサイトに「プライバシーポリシー」として挙げられているものがこれに相当します。この基本方針の策定は、重要ではありますが、必ずしも義務ではないとされています。
② 個人データの取扱いルールの整備とは、個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備するということです。
③ 組織的安全管理措置とは、具体的には、個人データの取扱いについて責任者を決めること、責任者が上記②のルールに従って個人データが取り扱われているかを確認すること、漏えいなどがあった際の連絡体制を決めること、責任者が定期的に個人データの取扱状況を見直すことなどです。
④ 人的安全管理措置とは、具体的には、個人データの取扱いについての教育・研修を実施すること、就業規則などに個人データなどについての秘密保持を定めることなどです。
⑤ 物理的安全管理措置とは、具体的には、必要のない人が個人データを見られないようにすること、書類や機器は盗まれないように鍵のかかったキャビネットなどに保管すること、書類などを持ち運ぶ際には封筒に封入して鞄に入れて持ち運ぶことなどです。また、中小規模事業者には対応例として挙がっていませんが、書類などを廃棄などする際には、シュレッダーにかけるなどして復元できなくすることがより望ましいといえます。
⑥ 技術的安全管理措置とは、具体的には、個人データを取り扱うパソコンを決めておくこと、パソコンにはID・パスワードを設定して必要のない人が使えないようにしておくこと、パソコンのOSやウイルスソフトなどを最新の状態にしておくこと、メールなどで個人データを送るときはパスワードをかけることなどです。
6 従業者の監督(個人情報保護法21条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、その個人データが安全に管理されるよう、当該従業者に対する必要かつ適切な監督を行わないといけません。「従業者」とは、個人情報取扱事業者の組織内で直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)がその典型例です。個人データを取り扱う従業員には、個人情報保護法に関する教育・研修を実施するとともに、上記「5」の②のルールに基づいて従業員が個人データを取り扱っているか確認するなどして、漏えいなどの事態を防ぐようにしましょう。
7 委託先の監督(個人情報保護法22条)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データが安全に管理されるよう、委託先に対する必要かつ適切な監督を行わないといけません。「必要かつ適切な監督」としては、① 委託先を適切に選ぶこと、② 委託に当たって委託契約を結ぶこと、③ 委託先での個人データの取扱状況を把握することなどが挙げられます。
当該コンテンツは、担当コンサルタントの分析・調査に基づき作成されております。
公開日
