2022.09.19

改正個人情報保護法に関する解説　その2

「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。 前回の「個人情報保護法」の改正について（1）に続き、新たな改正ポイントをみていくことにしましょう。   改正のポイントは、大きく分けて６つです。 ※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。 個人の権利の在り方 事業者の守るべき責務の在り方 事業者による自主的な取組を促す仕組みの在り方 データ利活用に関する施策の在り方 ペナルティの在り方 法の域外適用・越境移転の在り方   今回は個人情報を取り扱う事業者に焦点をあて、2．事業者の守るべき責務の在り方、3．事業者による自主的な取組を促す仕組みの在り方、また、5．ペナルティの在り方について詳しくみていきたいと思います。     改正ポイント2「事業者の守るべき責務の在り方」について 個人（本人）の権利の在り方が手厚くなったことに対して、事業者については個人情報を取り扱う責務がより重くなりました。 では、具体的にどう変わったのかをみていきましょう。   漏えい等が発生した時の報告や通知が義務化された！ 個人情報の漏えい等が発生したとき、事業者は通常、個人情報委員会に報告、かつ、本人にその旨通知しなければなりません。 このような報告や通知は、これまでにも行われてきました。 では、一体どこが変わったのでしょうか。 それは、これまで報告等をすることが「努力義務」であったことに対し、これからは「義務」となった点です。 誤解を恐れずに言い換えるなら、「なるべく通知しなさい」から「必ず通知しなさい」に変化したということです。   また、個人情報委員会への報告も二段階に分けて行うことになりました。 一段階目は「速報」として、漏えい等の事態を知ってからおよそ3～5日以内に、その時点で把握している内容を報告しなければなりません。 そして、二段階目に「確報」として、漏えい等の事態を知ってからおよそ30日以内（不正の目的によるおそれがある場合は60日以内）にすべての報告を終えなければなりません（例外あり）。   個人情報の「適正な取得」義務に加えて「不適正な利用」が禁止された！ 改正前までは、個人情報を適正に取得することのみが、法定化されていました。 改正後は、更に、個人情報の不適正利用を禁止することが付け加えられました。 では、不適正な利用とはどのようなケースが想定されるでしょうか？ 例えば、性別、国籍等の個人情報を、差別的取扱いを行うために、採用選考を通じて利用することなどがあげられます。 また、暴力団員からの暴力的要求行為を防止するために、責任者の名簿等をみだりに開示することも不適正利用の一例です。 今回の改正により、上記のような不適正な利用はすべて禁止の対象となりました。   改正ポイント3「事業者による自主的な取組を促す仕組みの在り方」について ・企業の特定部門単位を対象とした個人情報保護団体の設置が可能となった！ これまでは、「企業単位」を対象に認定個人情報保護団体が機能していました。 言い換えるなら、とある会社の個人情報に関する苦情について、その会社のすべての部門において認定個人情報保護団体は対応しなければなりませんでした。 しかし、昨今のIT技術の進展や業務の多様化に伴い、全部門をまとめて対象とするのではなく、「企業の特定部門」のみを対象に個人情報保護団体を認定することができるようになりました。 例えば、とある会社の広報部門のみを対象に団体を認定することが可能となりました。 結果、専門性が高く、より上質な個人情報保護対策がとれることとなりました。   改正ポイント5「ペナルティの在り方」について このポイントをみるにあたって、少し話は飛びますが、「ウ・ヨンウ弁護士は天才肌」という韓国ドラマの内容について少し触れたいと思います。 このドラマは自閉症の弁護士が奮闘するとても面白い内容のドラマですが、その15話に、ハッカーにより大手企業の取り扱う個人情報が漏えいするといった事件が描かれていました。 興味深いのは、その時に放送通信委員会から当該大手企業に課された課徴金が3000億ウォンという大金だったことです。 あくまでドラマの内容であり、現実とは別で考える必要がありますが（現に、ドラマ内で「情報通信網法」が改正されたとありますが、実際は、韓国では「情報通信網法」に規定された個人情報保護に関する事項は「個人情報保護法」に一本化されています）、昨今の個人情報保護に対する意識の高さが反映された場面であるといえます。 少し話がそれましたが、日本でも同じような動きがみてとれます。 ここからは事業者に対する実際の罰則規定をみていきましょう。   ・罰則の法定刑が引き上げられた！ タイトル通り、事業者に対するペナルティは改正により引き上げられました。 例えば、個人情報保護委員会に対する命令違反を行った場合、旧法では、６月以下の懲役又は３０万円以下の罰金であったのに対し、新法では、１年以下の懲役又は100万円以下の罰金が科せられることになりました。 また、虚偽報告等を行った場合、旧法では、３０万円以下の罰金でしたが、新法では、５０万円以下の罰金に引き上げられています。 法人に対する罰金の上限額は、もともと違反行為者と同じ上限額でしたが、改正後は、1億円以下の罰金となりました。 このように、法定刑はぐんと引き上げられ、法人に至っては、違反行為者よりも罰金刑の最高額を更に引き上げられることとなりました

2022.10.11

改正個人情報保護法に関する解説　その3

「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。 改正のポイントは、大きく分けて６つです。 ※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。 個人の権利の在り方 事業者の守るべき責務の在り方 事業者による自主的な取組を促す仕組みの在り方 データ利活用に関する施策の在り方 ペナルティの在り方 法の域外適用・越境移転の在り方 別記事「個人情報保護法」の改正について（1）は個人（本人）の側から改正ポイント1を、(２)は個人情報を取り扱う事業者の側から改正ポイント2．3．5をそれぞれみていきました。 今回は、時代の流れに焦点をあて、残り4．データ利活用に関する施策の在り方、6．法の域外適用・越境移転の在り方の2点について詳しくみていきたいと思います。   改正ポイント4「データ利活用に関する施策の在り方」について ①「仮名加工情報」が導入された！ これまで、「個人情報」に該当するものは、すべて個人情報の取扱いに関する規律の対象となっていました。 例えば、利用目的の制限や、漏えい等を報告する義務などがあげられます。 そのような状況のなか、改正により新たな概念が導入されました。 その名も、「仮名加工情報」です。 この「仮名加工情報」は、なんと本人の同意を得ずに利用目的を変更できます（ただし一定の条件あり）。 また、漏えい等報告の義務や開示・利用停止等の請求対応義務がありません。 では、「仮名加工情報」とはどんなものなのか、みていくことにしましょう。   「仮名加工情報」とは、ずばり特定の個人を識別できないように加工したものです。 例えば、ネットショッピングをするAさんがいたとして、そのショッピングサイトの会員情報として、氏名、住所、年齢、生年月日、購入履歴等が登録されています。 これらの情報は簡単にAさんとわかってしまうので、個人情報といえます。 「仮名加工情報」は、これらに加工を加えて、他の情報と結びつけないかぎりAさんとわからないようにしたものをいいます。 さきほどの例からすると、氏名の代わりに仮IDを使うといったようなことです。 ※「仮名加工情報」は利用目的の変更や開示請求対応の義務がないといいましたが、第三者提供については原則できないとされているので注意が必要です。   「仮名加工情報」は施行されたばかりのため、まだ大きく活用はされていませんが、将来AI分野やマーケティングへ分野で力を発揮するのではないかといわれています。   ②個人データに該当しない情報を第三者に提供するときも、本人の同意が必要となった！ タイトルの通りですが、もともと個人データに該当しない情報を第三者に提供する際に、なぜ本人の同意が必要なのか、疑問が出てくるかもしれません。 実は、本来個人を特定できない情報であっても、第三者提供することによって個人が特定されてしまうケースがあります。 例えば、さきほどのAさんの購入履歴（氏名や住所はなし）を某企業Bが、第三者の企業Cに提供しようと考えました。 購入履歴だけではAさんと特定できないので、第三者に提供しても問題がないようにみえます。 しかし、この第三者の企業Cは、Aさんの氏名や住所等の顧客情報をもともと所持していた会社でした。 そして、某企業Bから提供された購入履歴のID情報と、自分がもっている顧客情報のIDを組み合わせて、「この購入履歴はAさんのもの」という情報を結果的に手に入れることとなりました。   こういった事例が起こり得る可能性があり、個人データに該当しない情報であっても、個人データとなるおそれがある場合は、本人の同意が必要となりました。 ちなみに、本人から同意を取得しなければいけないのは、原則第三者の企業C側です（事情によっては企業Bでも可）。 その場合、某企業Bは、本人Aからの同意が得られているかを事前に確認しなければなりません。 そして、BCともにデータのやりとりについて記録を残さなければいけません。   別記事「個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？」でも同様の内容を記載しておりますので、ご参照ください。 （参照）別記事「個人情報保護法改正により、情報の宝庫「Cookie」の取扱いが変わる！？」   改正ポイント6「法の域外適用・越境移転の在り方」について 最後にポイント6「法の域外適用・越境移転の在り方」についてみていきたいと思います。 これまで海外の事業者には、個人情報の取扱いについて、指導・勧告といった強制力のない規定しか適用されていませんでした。 また、海外の事業者に個人情報を提供する際、本人の同意も簡素なものでした。 今回の改正に伴いこれらがどう変わったのか、具体的にみていきましょう。   ①海外の事業者に個人情報が提供される際、本人への情報提供が充実することとなった！ 海外の事業者に個人情報を提供する際、本人の同意を得ることが必要ですが、同意を得る際の本人への情報提供が充実することとなりました。 例えば、本人からの同意取得時に、提供先の国のなまえや当該外国における個人情報の保護に関する制度、また、当該外国先が講ずる個人情報の保護のための措置がどういったものなのか、こうした情報を提供元が本人に伝えることが義務となりました。   ②海外事業者にも罰則規定を設けることができるようになった！ これまで、海外事業者は罰則対象ではなく、あくまで指導・勧告対象、つまり強制力を伴わない範囲にとどまっていました。 改正後は、個人情報保護委員会が、海外事業者にも罰則による強制力を伴う報告徴収・命令、命令に従わない場合の公表等を行うことができるようになりました。

2022.09.16

改正個人情報保護法に関する解説　その１

「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。 どこが改正されたのか、これからそのポイントをみていきたいと思います。 ところで「個人情報保護法」は、昨今の社会情勢の急激な変化を踏まえて、平成27年に設けられた「いわゆる3年ごと見直し」に関する規定に基づき、見直しを進めてきました。 今回の改正は、その3年ごとの見直しのなかで行われたものとなります。   「個人情報保護法」の改正ポイント 今回の改正のポイントは大きく分けて、６つです。 ※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。   個人の権利の在り方 事業者の守るべき責務の在り方 事業者による自主的な取組を促す仕組みの在り方 データ利活用に関する施策の在り方 ペナルティの在り方 法の域外適用・越境移転の在り方   今回はそのうちの特に１．個人の権利の在り方について、詳しくみていきたいと思います。   改正ポイント１「個人の権利の在り方」について タイトルの通り、改正ポイント１．個人の権利の在り方は、個人の権利に焦点をあてました。 今回の改正で、個人の権利を保護する動きがより強化されたのです。 では、どのように強化されたのでしょうか？ 大きく５つに分けて説明していきたいと思います。   利用停止・消去の請求ができる場面が増えた！ これまで「保有個人データ」の利用停止・消去を本人が請求できるのは、個人情報取扱事業者が法違反を犯した場合が主流でした。 例えば、「保有個人データ」を目的外利用したときや、不正に取得した場合等です。 しかし改正後は、請求できる場面がさらに増えました。 具体的には、個人情報取扱事業者が「保有個人データ」を利用しなくなったときや、「保有個人データ」の漏えいがあったときに請求できることとなりました。 また、これまでのように明らかな違反があった場合だけでなく、本人の権利又は正当な利益が害されるおそれがあるときにも、請求できるようになりました。 ただし、個人情報取扱事業者が利用停止・消去することが困難な場合や、本人の権利を守るための代替措置が取られている場合には、利用停止・消去しなくてもよい旨定められています。   開示請求するとき、書面交付方法以外を指定できるようになった！ 本人は「保有個人データ」について、個人情報取扱事業者に開示を求めることができます。 旧法ではその開示方法が、書面の交付のみでした。 しかし今回の改正により、本人が指定した方法（例えばメール提供等）によって開示してもらうことが可能となりました。 そもそも情報量がたくさんある場合に書面を交付することはナンセンスです。 また、動画などで保存されている場合、書面交付ができません。 そこで、書面交付方法以外で開示を受けることができるようにしました。 ただし、本人が指定した方法が、個人情報取扱事業者にとって多額の費用を要するなど負担が大きい場合、指定方法ではなく従来通り書面で交付することも認められています。   第三者提供記録を本人が開示請求できるようになった！ そもそも第三者提供記録とは、個人情報取扱事業者が、「保有個人データ」を第三者に提供するときに作成する記録のことです。 この記録は、提供する側も情報を受け取る側も両者が作成しなければなりません。 この第三者提供記録は、旧法のもとでは、本人は開示請求することができませんでした。 本人又は第三者の生命や身体などに危害が及ぶおそれがある場合は開示請求できない等、改正後も一部開示できない例外のケースはありますが、基本的には、本人が第三者提供記録を開示請求することができるようになりました。   短期保存データが「保有個人データ」に含まれることになった！ 旧法では、6ヵ月以内に消去される保存データは、「保有個人データ」に含まれないとされていました。 そもそも個人情報を取り扱う事業者は、「保有個人データ」について、本人への開示・訂正・利用停止に応じる義務を負います。 つまり、これまで6ヵ月以内に消去される保存データは、これらの義務が生じなかったことになります。 しかし、6ヵ月以内に消去される保存データであっても、消去されるまでの間に漏えいが発生する可能性も十分にあります。 そこで、今回の改正では、6ヵ月以内に消去する保存データについて、「保有個人データ」に含めることとし、開示・訂正・利用停止等の対象とすることにしました。   「オプトアウト」方式が使えない「保有個人データ」が増えた！ 「オプトアウト」について、まずは簡単に説明します。 「保有個人データ」を第三者に提供する際、本来は本人の同意が必要になります。 しかし、「オプトアウト」方式を使うことによって、本人からの同意は不要となります。 （ただし、本人が「止めてください」と請求したときは、第三者提供をやめなければなりません。） この「オプトアウト」方式を使うためには、プライバシーポリシーなどに必要な事項を記載して公表したり、個人情報保護委員会に事前に届出をしたりしなければなりません。 このような便利な「オプトアウト」方式でも、「要配慮個人情報」は提供することができません。 そして今回の改正により、「オプトアウト」方式が使えない「保有個人データ」が「要配慮個人情報」にとどまらず、さらに増えることとなりました。 例えば、不正な手段で取得された個人情報は「オプトアウト」方式で第三者に提供することができません。 また、そもそも「オプトアウト」方式による第三者提供の方法によって取得した「保有個人データ」も、「オプトアウト」方式が使えなくなりました。   以上、１．個人の権利の在り方から改正ポイントを具体的にみていきました。 今回の改正がされたことで、本人の権利保護がより強化されたことがわかるのではないでしょうか。

2022.03.28

介護現場からみる個人情報の取扱い

介護現場は個人情報の宝庫です。 例えば、日々の介護・看護記録やバイタルから身体状況、サービスの利用状況から経済状況などがみてとれます。   介護現場が管理する個人情報は、氏名、住所、生年月日のみならず、身体状況や既往歴、性格、趣味、経済状況、家族の状況など、他の業種と比較しても多岐にわたります。 また、その情報のなかには、プライバシーにかかわる情報も多く含まれています。 特に身体状況や既往歴などは「要配慮個人情報」とされ、特に慎重な管理が必要となります。 ※「要配慮個人情報」については、より詳しい説明を当EWBサイト「要配慮個人情報とは（就職面接や健康診断の場面から）」でしていますのでご参照ください。   以上のように、介護現場では、個人情報を厳重に扱わなければいけない理由がしっかりとあります。 にもかかわらず、介護現場での個人情報漏洩事故はたくさん起きています。 実際にどのような事故があったのか、参考にみていきましょう。   介護現場で実際に起きた個人情報漏洩事故 １．個人情報が入ったUSBメモリーの紛失 神奈川県の某介護施設で働く職員が、入所者６人分の個人情報が入ったＵＳＢメモリーを紛失してしまいました。 職員は乗用車の鍵を探すときに、いったんそのＵＳＢメモリーを入れたポーチを車の屋根に置き、そのまま車を発進させてしまいました。 発進後すぐにポーチがないことに気づきましたが見つからす、警察署に届けられた事案です。 このUSBには6人の入所者の住所、氏名、生年月日、電話番号、家族情報などが記録された認定調査票が保存されていました。 当時ＵＳＢメモリー含む入所者の情報を施設外に持ち出すのは禁じられていましたが、実際に起こってしまった事故です。   ２．業務用携帯電話の紛失 東京都の某通所介護事業所で業務用の携帯電話が一台紛失していまいました。 この携帯のなかには、約100件の利用者家族の氏名と電話番号が登録されていました。 情報の不正利用は確認されませんでしたが、多くの個人情報が漏洩の危機にさらされた事故でした。   3．車中での書類の盗難 神奈川県の某訪問介護事業所で働く訪問介護員が、事務所で業務の準備をした後、自宅で残務処理をするため新規依頼書、訪問介護記録、派遣予定表など８人分の書類を手提げ袋に入れて車で帰宅しました。 途中、県内のレストランに立ち寄り、食事をした際、その手提げ袋は車中に残していました。 その後、車に戻ったところ、手提げ袋が何者かに盗まれてなくなっていました。   ４．自転車かごからの書類紛失 東京都の某介護保険事業所のケアマネジャーが、担当している5人の書類の入ったバッグを、自転車後部にあるかごの中にいれ、カバーで覆って利用者宅に向かいました。 そして、利用者宅に着いた際、そのバッグが紛失していることに気づきました。 中に入っていた書類には、個人の身体状態を記入した介護認定を受けるためのデータなどが含まれていました。   個人情報漏洩を防ぐために 以上のように、大事な個人情報が介護現場でうっかり洩れてしまう事故を４つみてきましたが、上記で取り上げた例はほんの一部です。 うっかりミスが大きな事件に発展してしまう前に、わたしたちは何をすればいいのでしょう。 以下、介護現場にとどまらず、様々な事業所で通用する個人情報の安全対策についてみていきます。   個人情報の安全対策は主に次の4つの分類に分けられます。   ①人的対策 例）従業員の規則遵守の意識（コンプライアンス）を高めるため、教育訓練を行う。 お互いにチェックする体制をつくる。 異常をすぐに検知できるよう、報告体制を整える。   ②技術的対策 例）ウイルス対策ソフトやファイアウォールなどの正しい配置と運用により、防御を徹底する。 常に監視し、定期的にチェックを行い、異常の早期発見に努める。   ③物理的対策 例）特定場所への入退室管理、施錠管理を徹底する。 防犯カメラや警報装置などを設置する。 パソコンやUSBメモリー、紙など記録媒体の盗難対策に努める。   ④組織的対策 例）個人情報に関する担当者や責任者を配置する。 個人情報に関するルールを作り、それを守るための取り組みを実施する。 個人情報保護に関する情報収集に努める。   上記４つの安全対策をしっかり行い、一人ひとりが個人情報の取扱いに対する意識をもつことが大事です。   介護現場で万が一個人情報が洩れてしまったら、認知症の高齢者に悪徳業者がつけこむなど多くの人たちが被害を受ける可能性があります。 そうならないためにも、なんとなくではなく、確実に、個人情報を取り扱っていきましょう。

2022.01.26

個人情報保護法からみる気を付けるべき「ヒヤリハット」

「ヒヤリハット」とは、重大な災害や事故に直結する一歩手前の出来事のことを指します。 個人情報保護法の観点からも、実はこのような「ヒヤリハット」のケースが多くあります。   例えば、学校で生徒間のトラブルがあったとしましょう。 加害者側生徒の親が、「謝罪したいので相手の生徒の連絡先を教えてほしい」と言ってきたら、 あなたはどうしますか？ 謝罪のためならと教えてしまいそうになりますが、実はこれは個人情報保護法違反になってしまいます。 正しくは、相手の生徒やご両親に教えてもいいか了承を得てから、伝える必要があります。   個人情報保護についてなんとなくわかってはいるものの、実際にどうすればいいのかわからない。 今回は、こうした事例をいくつかあげてみましょう。   ※ここで取り上げる「ヒヤリハット」例は、「個人情報保護委員会」のHP（https://www.ppc.go.jp/）を参照しています。   １，販売店の従業員のケース   商品に異物が混入していたと購入者のお客様からお店へ連絡がありました。 お店の販売員であるあなたは、謝罪をし、製造業者に連絡先（電話番号）を伝えてもいいか確認しました。 OKを貰ったあなたは、製造業者へ詳細を連絡しました。 すると、製造業者からお客様宛に代替品を送りたいと言われました。 こんなとき、あなたならどうしますか？ 送り先（住所）を伝えますか？ もしここでお客様の住所を製造業者に伝えてしまったら、それは個人情報保護法違反となります。   お客様からは電話番号を伝えてもいいと了承をもらっただけで、住所については同意をもらっていません。 個人情報保護法においては、こうした同意の範囲も大切なポイントとなります。   ２，会社の従業員のケース   会社に、従業員Aの親を名乗る者から、至急子供（従業員A）と連絡を取りたいとの電話がありました。 従業員Aは外出していたのでその旨伝えると、携帯電話番号を教えてほしいと言われました。 電話口の切迫感から思わず携帯電話番号を伝えてしまいそうになりますが、 実はこれも個人情報保護法違反になります。   たとえ本人の家族からの要望であっても、あらかじめ本人の同意がなければ教えることはできません。 この場合、まずはあなたから従業員Aに連絡をするなどの対応が必要です。   ３，メール送信のケース   あなたは、イベントの案内を、多くの顧客に一斉にメールで送ることにしました。 しかし誤ってBCCではなくCCで送信しそうになりました。 間一髪を逃れたものの、もしCCで送ってしまっていたらどうなっていたでしょう。   まず、送り先のメールアドレスを、送信された誰もがみることができるようになります。 そして、送り先メールアドレスの中にフルネームと想定されるメールアドレスがあった場合、 それは個人情報にあたる可能性があります。 結果、本人の同意なく個人情報を漏洩したことになります。   一斉にメールを送る場合には、CC入力で送るようにしましょう。   ４，USBメモリ取扱いのケース   最後に、USB取扱いのケースについてみていきます。 あなたは資料作りのため システムに保存された顧客データをUSBにコピーし作業していました。 その日の作業を終えたあなたは、翌日も作業を続けようと思っていたため、 自分の机の上にそのUSBを置いて帰りそうになりました。   このケース、思い当たる人もいるかもしれません。 しかし、誰も気づかないだろうと置いて帰ってしまっていたらどうなっていたでしょう。 顧客データが入ったUSBが盗まれるなど、取り返しのつかない事態になっていたかもしれません。   顧客データなどの個人情報がはいったUSBは必ず所定の場所に直し、鍵をかけるようにしてください。   以上、4通りのケースをみてきましたが、このような「ヒヤリハット」は他にもたくさんあります。 「ヒヤリハット」から大事に至らないためにも、普段から個人情報保護への意識をしっかりもって行動することが大切です。

2022.01.12

どこまで追求する？正確性の確保とは

Pマークの取り組みで求められる取り組みの１つに「正確性の確保」と言うものがあります。   単に言葉だけ聞くとなかなかピンと来ず、何をするの？になると思います。   実は「正確性の確保」と言う一言の中に、Pマークでは３つプラスαの取り組みを求めています。   今回はその３つプラスαの取り組みを１つずつ紹介していきたいと思います。   取り組み１：ダブルチェック まず、一つ目はダブルチェックです。ここでの「正確性の確保」の意味としては正確な情報であるように間違っていないことをちゃんと確認してください。と言う意味になります。   ダブルチェック。と言っていますが、２名体制でのチェックを求めてはいません。間違った情報でないよう、二重にチェックすることを求めています。 ですので、２名ではなく１名での実施であっても問題はありません。 間違いが起きないようにチェックする体制を作っていることが重要になります。   取り組み２：バックアップ ２つ目はバックアップです。 これは電子データのみに関わってきますが、間違って個人情報を削除してしまった場合などにデータを復旧できるようバックアップを取得することが求められています。   最近はクラウドサービスの利用などでバックアップの自動化が進んでいますが、もし社内のローカル環境などで使っている個人情報があれば、何らかの手段でバックアップを取得していないと、万が一のことが起きた際にデータを戻せないという重大事故になってしまう可能性があります。 こうならないためにもバックアップの取得は重要な業務と言えます。   取り組み３：保存期間の明確化 ３つ目は保存期間の明確にすることです。ここでの「正確性の確保」は正確な保管・保存期間を定めて、間違って廃棄などをしないようにすることを求めています。   正確な期間を定めていないと間違って必要な情報を削除・廃棄してしまう可能性があります。 よくある個人情報に関する事故で誤廃棄がありますが、発生原因の１つには保管期間があやふやであることも挙げられます。 これらの保管・保存期間の明確化は個人情報を特定している一覧表（個人情報管理台帳）に記載することが一般的になります。   プラスアルファの取り組みで求められるのは削除に関することになります。 法律や規格では「利用する必要がなくなったときは、当該個人情報を遅滞なく消去するよう努めなければならない。」と言う記述があります。 ３の保管期間の明確化に繋がってくるのでこの内容をプラスアルファにしていますが、保管期間を過ぎて不要になったものについては、削除・廃棄するよう努力することが求められているわけです。   個人情報は持っているだけでもリスクになります。 削除・廃棄していかないと持ち続けることで、個人情報漏洩のリスクが少しずつ上がっていくことになります。 そうならないためにも、保管期間を定め、過ぎたものについては適宜廃棄していくよう努力すること必要になります。   このように正確性の確保と一言で言ってもやらなければならないことは沢山あります。 混乱しないように１つ１つ着実に行っていくことが重要と言えます。