2020.10.19

テレワークで個人情報を扱う上での3つの注意点

新型コロナウイルスの影響で現在、様々な規模・様々な業種の会社の在宅勤務が推奨されたり、完全にテレワークが推奨されたりしています。 こういったタイミングで新たな仕事のやり方を模索されてる会社が非常に多いのではないかと思います。 当事務所にもテレワークのルール構築や注意点の相談がよく来ます。 そういった会社の相談で一番多い悩みはテレワークを行う・推奨する上でどう個人情報を取扱わせるべきなのか。という点です。 今回はテレワーク・在宅勤務で個人情報をどう扱うべきなのか3つのポイントに絞ってお話したいと思います。   【テレワークと在宅勤務の違いって何？】 そもそもテレワークと在宅勤務って違うのでしょうか？よくテレワーク＝在宅勤務と考える方も多いですが、実は違います。 テレワークはそもそも、会社の外で仕事をすること全般を指しているため、家での仕事はもちろんですが、喫茶店での仕事するなど、外で仕事をすること全般を指します。 在宅勤務はその言葉の通りで、自宅で仕事をすることを指しています。   【ポイント1：パソコンはどうすべき？】 まず、仕事をする上でパソコンをどうすべきかが、課題になります。 普段からノートパソコンを持ち出し許可しているケースはそのままの運用で良いですが、ノートPCを持ち出し許可していない場合やそもそもデスクトップしかなく、自宅のパソコンで仕事させざる得ない場合などはどうすべきでしょうか。 ・会社PCを持って帰ってテレワークを認める場合 まず会社PCを持って帰る場合ですが、仕事で使っているパソコンがノートパソコンであれば、それを使わせるべきです。理由は誰がどのパソコンを使っているか把握しやすいからです。 ・自宅パソコンを使う場合 自宅のパソコンを使ってテレワークを認める場合ですが、最低限下記のことを従業員に認めさせるべきだと思います。 ・家族とは共有しているパソコンを使って仕事はさせない ・ウイルス対策ソフトが動いているパソコンを使う ・Winnyなど共有ソフトが入ってないこと   【ポイント2：紙資料はどうすべき？】 次に紙に記載された個人情報と言った紙資料ですが、これは基本的に持ち出して自宅に持って帰らせることは禁止にすべきです。 紙1枚からキングファイルに入った大規模な資料など量も様々ですので、紛失リスクが高いですし、基本的に1部しかなく他の人たちと共有もできず、コピーを認めて持って帰ろうものならもう収拾がつきません。 それであれば、紙資料はスキャンし、電子化した上でしかるべき場所からアクセスさせるべきです。 ちなみに個人情報保護法で個人情報を社外に持ち出すことを禁止している。みたいなことをネットで見たことがありますが、そんなことはありませんのでその点は安心してください。     【ポイント3：データへのアクセスはどうすべき？】 3つめですが、パソコンを使って個人情報のデータなどへのアクセスです。 これについてもUSBメモリでデータを持ち帰らせるのは基本的にNGです。個人の私用USBメモリを使わせることなんてもってのほかです。 手段の1つとしてはクラウド上にデータを保存できるサービスを会社で用意する形です。 BoxやOneDriveなどですね。 こういったところに、データを保存しておき、そこからダウンロード・アップロードをする形です。 もう1つは社内のファイルサーバなどに社外からアクセスさせることになりますが、こういったものはネットワークの設定の変更なども必要があり、すぐに利用することは出来ない可能性が高いです。 やる場合も専用のリモートソフトなども活用して、記録が残るようにしておくことが望ましいと思います。 どっちにしても自宅の個人パソコンには基本的にデータは保存させないようにし、残しても1時的でちゃんと然るべき保存場所にいれることが会社や従業員を守る上での必要なセキュリティ対策と言えます。  

2020.10.19

ネットに公開されてる個人情報って勝手に利用してもOK？

インターネット上に公開されている個人情報はどこまで勝手に利用して良いのか、疑問に思ったことってありませんか？ 例えば、行政書士会は登録されている行政書士をインターネット上で検索できるようになっています。     実際に、公開されているから。という理由だけでダイレクトメール等が来たことがある人もいるかと思います。 逆にビジネス上、使って問題ないか悩んでいる企業も多いとも思います。 こういった情報はインターネット上で公開されていますが、果たして勝手に利用して個人情報保護法上、問題ないのでしょうか・・・ インターネットに公開された情報であっても個人情報保護法の規制の対象になります。 今回はインターネット上での個人情報の取得等で個人情報取扱事業者(会社)が留意しなければならない点について説明していきます。   【個人情報収集時の留意】 インターネット上で入手できる個人情報について、収集・取得する場合は、個人情報保護法における「個人情報」の取得に関する規制の対象になります。 インターネット上での個人情報の取得の有無が問われる場面としては下記のようなケースが想定されます。 ① 情報を単に画面上で閲覧する場合 ② 情報を転記の上で検索可能な状態にした場合 ③ 情報が含まれるファイルをダウンロードしてデータベース化する場合 ④ 検索可能化・データベース化までせずにローカルPCに転記等した場合 ①の場合ですが、これは単に見るだけであるので、個人情報保護法ガイドライン通則編３−２−１では取得に該当しないとされています。 ②、③について個人情報保護委員会の公表しているＱ＆Ａでは「個人情報を取得したと解し得る」と表現されています。 もちろん、④についてもパソコンにコピーする行為も取得と解されるため。上記②から④の事例を含めて「取得」にあたり、個人情報保護法の規制がかかると考え行動すべきだと判断できます。   【個人情報の収集・取得時にすべきこと】 では、個人情報保護法の規制の対象になるとして、会社・事業者としては収集・取得時に何をしなければならないのでしょうか。 個人情報保護法の18条1項ではこう定められています。 個人情報を取得する場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、または公表しなければならない。 ※個人情報保護法18条1項から引用 つまり、自社のホームページでプライバシーポリシーなどの形で利用目的を公表する必要があります。 そうすることで「あらかじめその利用目的を公表している場合」をクリアすることが可能となり、インターネットから収集・取得した個人情報であっても本人への通知・公表は原則として不要となります。 【どのように利用してOKなのか】 3つ目にどのようにインターネット上で収集・取得した個人情報を扱ってOKか。です。 個人情報保護法では下記の通りに定められています。 あらかじめ公表し、または、本人に通知・公表した利用目的の範囲内でのみ利用できる。 ※個人情報保護法16条1項から引用 また、「その範囲を超えて利用する場合には、あらかじめ本人の同意を得なければならない」とも定められています。 ※個人情報保護法16条1項から引用 つまり、予めどう扱うを定めてそれを逸脱して利用するような事態になるのであれば、ちゃんと本人の同意を得る必要があります。 好き勝手に変えることも不可で「変更前の利用目的と関連性を有すると合理的に認められる範囲」と法律に定められています。   【まとめ】 結論として、インターネット上で公開されているとはいえ、れっきとした個人情報に該当し、利用するにあたっては個人情報保護法の順守が必要になります。 また、好き勝手に使ってはダメでちゃんと最初に利用目的を定めてそれを逸脱しないようにしないと法律違反に該当すると認識してください。 個人情報保護に関するお問い合わせはこちら  

2020.10.19

プライバシーマークで求められるリスク分析のやり方

プライバシーマーク(以下、Pマーク)の取り組みで最大と言って良い山場はリスクアセスメントと言えます。 リスクアセスメントで手を抜くとその後の取り組みに大きな影響が出てしまい、認証取得を目指す上で逆に大きな障害になってしまいます。 たかがリスクアセスメントされどリスクアセスメントというわけです。 今回はそのリスクアセスメントについて取り組みを行う上でのポイントを触れてみたいと思います。   【なぜ手抜きしてはダメなのか】 リスクアセスメントを手抜きしてはダメな理由としては大きく3つのことが上げられます。 特定した個人情報をベースにリスクアセスメントを行うため、手抜きをしてしまうと自社の個人情報に対するリスク・対策が見えなくなってしまう リスクアセスメントの結果、出てくるリスク対策は自社の個人情報管理のルールの元になるため、手抜きをするとルールにヌケモレが出る。 リスクアセスメントを手抜きすると情報漏えいにつながる心配事が見えないので、情報漏えいが実現してしまう可能性が一向に下がらない。 結論として、リスクアセスメントをしっかり行うことで会社の個人情報保護のルールがしっかりと出来上がってくると言えます。     【リスクアセスメントの進め方】 ではPマーク上のリスクアセスメントはどのように進める必要があるのでしょうか。 ISMSなどではある程度自由なリスクアセスメントが出来ますが、Pマークは逆に縛りが結構厳しいと言えます。 ポイントは下記の3つです。 個人情報のライフサイクル(取り扱いの流れ)に沿ってリスクアセスメントを実施する すべての個人情報が対象になる 取り扱いが同じものはグルーピングして構わない まず、リスクアセスメントを実施する際には個人情報の流れを把握してそこにどんなリスクが想定されるかイメージします。 例えば、①履歴書を受け取る→②面接で使用する→③書庫で保管する→④不採用だったので破棄する こう言った流れがあった場合に①～④をPマークでよく言われるライフサイクルに当てはめてどんなリスクがあるか想定します。 ※ライフサイクルは取得・利用・保管・移送・廃棄・委託と言った個人情報の流れのカテゴリを指します。 想定したリスクが実現しないようにするためにどんな対策があるか検討・決定し、それを書いていくわけです。 Pマークはすべての個人情報に対してリスクアセスメントを求めているのですべてが対象になりますが、取り扱いの流れ(ライフサイクル)が同じ個人情報についてはグルーピングし、まとめてリスクアセスメントを行って良いとしています。 ※余談ですが、、、審査ではよくライフサイクル上リスクがないフェーズはないと言われます・・・ 上記のようなものをリスクアセスメント結果として帳票にまとめ結果を残す必要があります。   【残留リスクとは】 また、リスクアセスメントを行った際には必要に応じて残留リスクを把握し、管理する必要があります。 以前のPマーク状は残存リスクという言葉でしたが、2017版になり残留リスクとなりました、。 要求事項であるJISQ15001：2017のA3.3.3では残留リスクについて「現状で実施し植える対策を講じた上で、未対応部分を・・・」と記述しています。 つまり、リスク対策を行った上で未対応となった部分について残留リスクとして把握し、管理を行うことを求めています。 昔よくあったのが、「ダブルチェックを行う」というリスク対策を書いたら、「チェック漏れが起きてしまう」という残存リスクを書かれるケースがありましたが、こういった堂々巡りになるようなものはは対策を講じた上で、残りうる未対応部分とは言えないので、書く必要はありません。 Pマーク上のリスクアセスメントはやり方はある程度決まっているものになりますが、奥が深くポイントを把握してないとなかなか抜け出せなくなります。 Pマークを効率よく取得することを目指す場合、知見を持つ専門家への相談は不可欠になります。

2020.10.19

プライバシーマークで求められる個人情報保護方針ってどんなものですか？

プライバシーマーク(以下、Pマーク)を取得する際には必ず「個人情報保護方針」というものを作成する必要があります。 最近はPマーク云々関係なく様々な会社で個人情報保護方針(プライバシーポリシー)を作成していますが、Pマーク取得を目指す上ではどんな内容でもOKというわけではありません。 今回はPマークで必要になる個人情報保護方針について規格であるJISQ15001:2017の内容も踏まえて触れていきます。   【個人情報保護方針とは】 そもそも個人情報保護方針はなんなんでしょうか。 結論を言ってしまうと、会社としての個人情報の取扱について宣言した文書になります。 会社がどんな考えを持って、個人情報を扱いうのか、どのように管理をするのかを謳った文書になります。 また、こういった文書は単に作っていても意味がありませんので、社内外に周知をはかるためにもWebサイトに公表したり、オフィスに掲示したりして周知を行います。 社外の人からすると会社がどんな考えを持っているのか知るためのものになりますし、従業員の方々からすると自分たちがどうすべきかを知るための文書にもなります。(遵守すべき具体的なルールは個人情報保護方針に記載することはありませんが・・・)     【内部向け個人情報保護方針】 Pマークでは規格であるJISQ15001:2017附属書Aにて「内部向け個人情報保護方針」と「外部向け個人情報保護方針」を分けて記述しています。 A3.2.1である内部向け個人情報保護方針では a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。］。 b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守すること。 c) 個人情報の漏えい，滅失又はき損の防止及び是正に関すること。 d) 苦情及び相談への対応に関すること。 e) 個人情報保護マネジメントシステムの継続的改善に関すること。 ※JISQ15001:2017附属書Aから一部抜粋 上記のような文言が書かれています。 つまり個人情報保護方針には上記a)～e)を文書に書いて個人情報保護方針を作る必要があるわけです。 これらの内容をできるだけコンパクトにまとめ自社の文章として仕上げていくことがポイントになります。 特に「事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること」などは会社の特色が出る部分になります。   【外部向け個人情報保護方針】 JISQ15001:2017附属書Aではもう1つ「外部向け個人情報保護方針」があります。 これは外部に公表する個人情報保護方針についてのプラスアルファの要求になり、下記をプラスすべきと書かれています。 a) 制定年月日及び最終改正年月日 b) 外部向け個人情報保護方針の内容についての問合せ先 ※JISQ15001:2017附属書Aから一部抜粋 いつ制定・改訂されたものか、問い合わせ先を明確にする。などが必要になります。 また、規格内には「一般の人が入手可能な措置を講じること」と記載されています。 HPに掲載するなど、外部の人たちに周知するための対応をしなければならないことまで求められています。   個人情報保護方針1つとってもなんでもOKなわけではありません。 ちゃんと規格と自社の内容を合わせて作成する必要があるので、注意が必要になります。

2020.10.19

プライバシーマークで求められる文書規定について

プライバシーマーク(以下、Pマーク)の取得に向けた取り組みの中で必ず求められるものが、「文書」です。 いわゆる社内規程としての個人情報保護規程やJISQ15001:2017附属書Aについての取り組みの中で文書化が求められているものについて手順を含めた文書の作成が必要になります。 実際に作成した文書はPマークの申請時には審査機関に提出する必要もあり、作成出来ていなかったらPマークを取得することは出来ません。     【文書化が必要なものについて】 JISQ15001：2017附属書Aでは下記について文書化することを求めています。 a) 個人情報を特定する手順に関する規定 b) 法令，国が定める指針その他の規範の特定，参照及び維持に関する規定 c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定 d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に 関する規定 e) 緊急事態への準備及び対応に関する規定 f) 個人情報の取得，利用及び提供に関する規定 g) 個人情報の適正管理に関する規定 h) 本人からの開示等の請求等への対応に関する規定 i) 教育などに関する規定 j) 文書化した情報の管理に関する規定 k) 苦情及び相談への対応に関する規定 l) 点検に関する規定 m) 是正処置に関する規定 n) マネジメントレビューに関する規定 o) 内部規程の違反に関する罰則の規定 ※JISQ15001：2017附属書Aから抜粋   上記には15個の項目があります。 つまり、この15個の項目について文書化されたものが必要になります。 すごく膨大な量に見えます。 ただ、一点気をつけてもらいたいのはアルファベットの書かれている内容の語尾はすべて「規定」であって「規程」ではありません。 つまり、a)～o)についてすべてを個別の冊子として作る必要はなく、上記についてルール・手順や取り決めがあれば問題ありません。   【文書のまとめ方について】 附属書A内で文書化が求められているものについて、文書の数やページ数は特段定められていません。 付属書Aや審査の基準の中で文書・手順が求められるものについてしっかりまとまっていれば、問題なく15冊でも1冊でもPマークを取得することは可能です。 後は実際に会社として取り組む上でどの程度の文量や手順の細かさ、精密さが必要になるかです。 このあたりについては会社の規模や経営者の考え方で変わってくる部分にもなりますので、取り組みを進める上での要相談事項になってくると考えてもらえればと思います。  

2020.10.19

ベネッセ顧客情報流出、逆転賠償命令を受けて

2020年3月25日にベネッセコーポレーションの顧客情報流出をめぐり、顧客が損害賠償を求めた2件の訴訟の控訴審判決で、東京高裁は計622人に対し、1人当たり3300円を支払うようベネッセ側に命じる判決を出しました。 今回の賠償判決における総額は約200万円となります。 いわゆるベネッセ事件が起きてからすでに6年が過ぎますが、1つの民事訴訟での高裁判決が本日でました。 この判決を受けての考察・ベネッセ事件の振り返りを今日はしたいと思います。   【そもそもベネッセ事件とは】 2014年に起きたベネッセ事件はベネッセが保有する顧客情報を業務委託先の従業員が約3500万件の顧客情報を持ち出し、名簿業者に売却した事件となります。 発生時は日本で最大規模の個人情報漏えい事件として取り上げられられ、ベネッセは取得していたプライバシーマークの認証を取り消される事態になりました。 個人情報を流出させた業務委託先の従業員は不正競争防止法違反（営業秘密の複製、開示）の罪で逮捕され、2017年に懲役2年6カ月、罰金300万円の判決が下された。 漏えいした個人情報は多くの名簿業者に出回り、経済産業省は各名簿業者や名簿を購入したとされる事業者に対して、利用の停止などを求めたり、不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者の事務所など、関係先6カ所を不正競争防止法違反容疑で家宅捜索した。   【今回の民事判決を受けて】 今回の判決において裁判長は「情報が流出したことで私生活上の不安や失望感を生じさせた」というコメントを出しています。 やはり個人情報が外部の漏えい等すると、不正利用され予期せぬDMや電話などで普段の生活を邪魔される事態になってしまいます。 もちろん、そこにクレジットカードの情報なども一緒に漏えいしていることになれば、カードの不正利用で金銭的な損害を被る可能性もあるわけす。 ベネッセ事件において、クレジットカード情報が漏えいした事実はありませんが、この事件においては個人に与えた苦痛もありつつも社会的影響が非常に大きい事件になります。 その中で今回の判決では2018年12月27日の東京地方裁判所の判決でグループ会社のシンフォームに出た一人あたり3300円の賠償と同じ額の判決が出ています。 これはおそらく、シンフォームでの判決に額を合わせた。ということにはなるのでしょうが、仮に外部に漏えいした3500万人全員へ賠償するとなると、1155億円になります。 額だけ見ていると途方もない数字になります。 大規模な会社でさえ、この額の賠償をするとなれば会社が傾くことになります。一人に換算するとこの程度の額なのか。かもしれないですが、総額で考えるととてつもない額になりますし、おそらく今後の類似の事件・事故が起き、民事裁判となれば、この額が一つの目安になってくるものと考えられます。     【今後の情勢】 個人情報の取り扱いについては、世界的にシビアになっているのはご存知の通りです。 ヨーロッパのGDPRはもちろん、日本での2020年には個人情報保護法が改正され、事故報告の義務化などさらに厳しくなります。 ベネッセ事件や他の事件でも個人情報を漏えいさせたり、不正に扱うことで逮捕される人が出ているものも事実で昔であれば考えられなかったことかもしれません。 ただ、これが現実であり、今の世の中が変だ。と思う人は今の世の中で個人情報を扱うことはリスクだけを抱えることになり、相応しくないと思います。   これからも情報の価値は上がっていくと考えられるからこそ、それを扱う人のリテラシーの向上が急務と言えてきます。