2020.10.19

プライバシーマークで求められる文書規定について

プライバシーマーク(以下、Pマーク)の取得に向けた取り組みの中で必ず求められるものが、「文書」です。 いわゆる社内規程としての個人情報保護規程やJISQ15001:2017附属書Aについての取り組みの中で文書化が求められているものについて手順を含めた文書の作成が必要になります。 実際に作成した文書はPマークの申請時には審査機関に提出する必要もあり、作成出来ていなかったらPマークを取得することは出来ません。     【文書化が必要なものについて】 JISQ15001：2017附属書Aでは下記について文書化することを求めています。 a) 個人情報を特定する手順に関する規定 b) 法令，国が定める指針その他の規範の特定，参照及び維持に関する規定 c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定 d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に 関する規定 e) 緊急事態への準備及び対応に関する規定 f) 個人情報の取得，利用及び提供に関する規定 g) 個人情報の適正管理に関する規定 h) 本人からの開示等の請求等への対応に関する規定 i) 教育などに関する規定 j) 文書化した情報の管理に関する規定 k) 苦情及び相談への対応に関する規定 l) 点検に関する規定 m) 是正処置に関する規定 n) マネジメントレビューに関する規定 o) 内部規程の違反に関する罰則の規定 ※JISQ15001：2017附属書Aから抜粋   上記には15個の項目があります。 つまり、この15個の項目について文書化されたものが必要になります。 すごく膨大な量に見えます。 ただ、一点気をつけてもらいたいのはアルファベットの書かれている内容の語尾はすべて「規定」であって「規程」ではありません。 つまり、a)～o)についてすべてを個別の冊子として作る必要はなく、上記についてルール・手順や取り決めがあれば問題ありません。   【文書のまとめ方について】 附属書A内で文書化が求められているものについて、文書の数やページ数は特段定められていません。 付属書Aや審査の基準の中で文書・手順が求められるものについてしっかりまとまっていれば、問題なく15冊でも1冊でもPマークを取得することは可能です。 後は実際に会社として取り組む上でどの程度の文量や手順の細かさ、精密さが必要になるかです。 このあたりについては会社の規模や経営者の考え方で変わってくる部分にもなりますので、取り組みを進める上での要相談事項になってくると考えてもらえればと思います。  

2020.10.19

ベネッセ顧客情報流出、逆転賠償命令を受けて

2020年3月25日にベネッセコーポレーションの顧客情報流出をめぐり、顧客が損害賠償を求めた2件の訴訟の控訴審判決で、東京高裁は計622人に対し、1人当たり3300円を支払うようベネッセ側に命じる判決を出しました。 今回の賠償判決における総額は約200万円となります。 いわゆるベネッセ事件が起きてからすでに6年が過ぎますが、1つの民事訴訟での高裁判決が本日でました。 この判決を受けての考察・ベネッセ事件の振り返りを今日はしたいと思います。   【そもそもベネッセ事件とは】 2014年に起きたベネッセ事件はベネッセが保有する顧客情報を業務委託先の従業員が約3500万件の顧客情報を持ち出し、名簿業者に売却した事件となります。 発生時は日本で最大規模の個人情報漏えい事件として取り上げられられ、ベネッセは取得していたプライバシーマークの認証を取り消される事態になりました。 個人情報を流出させた業務委託先の従業員は不正競争防止法違反（営業秘密の複製、開示）の罪で逮捕され、2017年に懲役2年6カ月、罰金300万円の判決が下された。 漏えいした個人情報は多くの名簿業者に出回り、経済産業省は各名簿業者や名簿を購入したとされる事業者に対して、利用の停止などを求めたり、不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者の事務所など、関係先6カ所を不正競争防止法違反容疑で家宅捜索した。   【今回の民事判決を受けて】 今回の判決において裁判長は「情報が流出したことで私生活上の不安や失望感を生じさせた」というコメントを出しています。 やはり個人情報が外部の漏えい等すると、不正利用され予期せぬDMや電話などで普段の生活を邪魔される事態になってしまいます。 もちろん、そこにクレジットカードの情報なども一緒に漏えいしていることになれば、カードの不正利用で金銭的な損害を被る可能性もあるわけす。 ベネッセ事件において、クレジットカード情報が漏えいした事実はありませんが、この事件においては個人に与えた苦痛もありつつも社会的影響が非常に大きい事件になります。 その中で今回の判決では2018年12月27日の東京地方裁判所の判決でグループ会社のシンフォームに出た一人あたり3300円の賠償と同じ額の判決が出ています。 これはおそらく、シンフォームでの判決に額を合わせた。ということにはなるのでしょうが、仮に外部に漏えいした3500万人全員へ賠償するとなると、1155億円になります。 額だけ見ていると途方もない数字になります。 大規模な会社でさえ、この額の賠償をするとなれば会社が傾くことになります。一人に換算するとこの程度の額なのか。かもしれないですが、総額で考えるととてつもない額になりますし、おそらく今後の類似の事件・事故が起き、民事裁判となれば、この額が一つの目安になってくるものと考えられます。     【今後の情勢】 個人情報の取り扱いについては、世界的にシビアになっているのはご存知の通りです。 ヨーロッパのGDPRはもちろん、日本での2020年には個人情報保護法が改正され、事故報告の義務化などさらに厳しくなります。 ベネッセ事件や他の事件でも個人情報を漏えいさせたり、不正に扱うことで逮捕される人が出ているものも事実で昔であれば考えられなかったことかもしれません。 ただ、これが現実であり、今の世の中が変だ。と思う人は今の世の中で個人情報を扱うことはリスクだけを抱えることになり、相応しくないと思います。   これからも情報の価値は上がっていくと考えられるからこそ、それを扱う人のリテラシーの向上が急務と言えてきます。  

2020.10.19

愛知県の新型コロナ個人情報誤掲載から見るネットに個人情報が公表されることの危険性

5月5日に愛知県が新型コロナウイルス感染者の氏名や入院先などの個人情報を、県の公式サイトで誤って公開したことを発表し、謝罪しました。 県の発表にによると、５日午前９時半頃から同１０時１５分頃までの約４５分間、県内感染者４９５人の個人情報が閲覧できる状態に。感染者の氏名、入院先の医療機関、入院日、退院日などが掲載されていたとのことです。 サイトの閲覧数は重複を除き３６２件あり、発表段階では二次利用等はなされていないとのことでした。 この事件、個人情報保護の考えの中でどれだけ問題があるのでしょうか。 なかなか、ピンとこない人もいるかもしれません。 今回はこの事件がどれだけ、個人情報保護を考える上で問題があるのか触れていきたいと思います。   【誤記載された個人情報】 今回誤記載されたのは「感染者の氏名、入院先の医療機関、入院日、退院日」になります。 プラス新型コロナウイルスに感染した事実も分かるようになっています。 これは個人情報保護法上、要配慮個人情報に該当し、センシティブな個人情報となります。 詳細は「取り扱い要注意!?要配慮個人情報ってなんですか？」に記載しています。 端的に言うと、万が一外部に漏えい等してしまうと社会的影響が大きい情報になります。 今回、県は感染症法などに基づいて個人情報を収集・利用していた形になりますが、その詳細については「コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？」にも詳細を記載しています。   【誤記載でどんな影響が出るのか】 今回の新型コロナウイルス感染者のリストが漏えいしたことがどんな問題に発展するのでしょうか。 いくつか想定することが出来ますが、1つ大きな例を挙げると「差別」です。 新型コロナウイルス感染者リストに載っている人が世の中から差別されることが問題となります。 ニュースなどでも新型コロナウイルスの感染者が差別されたり、不当な扱いを受けた。という記事を見かけますし、新型コロナウイルスの診察をした病院が中傷された。など耳にします。 こういった個人情報がインターネット上に掲載されたりしますと世界中に発信されてしまいますし、住所は載っていないにしても、入院している病院などから住所やSNSなどが特定されてしまう可能性もあります。     つまり、インターネット上に公表されてしまうと自分の全てがすっ裸の状態にされてしまうと言っても過言ではありません。 インターネット上なので、事実以外にも勝手な嘘を書かれてしまう可能性があり、その人へのダメージは計り知れないものになります。   【どう対処すべきなのか・・・】 今回の新型コロナウイルスの感染者リストに限らず、万が一個人情報がインターネット上に漏えいしてしまい、いろいろ心無いことが書かれた場合ですが、主に下記のような問題になります。 ・名誉棄損 ・侮辱 ・プライバシー侵害 これらについて相談できる先は主に下記となります。 ・警察(サイバー犯罪相談窓口) ・弁護士や行政書士など法律家(ネットに詳しいことが条件) ・対策事業者 対策事業者は主に法人への対応が多くなってきますので、個人の方が相談する先としては警察や法律関係者になってくるかと思います。 こういったことはいち早く対応しないと一生残り続ける可能性もあるので、万が一被害にあった際には早急な相談・対応が必要がなってきます。

2020.10.19

意外と知らない、もらった名刺の情報は誰のもの？

皆さん、仕事で名刺交換したことありますよね？ 仕事をしていれば誰もが経験するものだと思います。 ただ、意外と皆さん認識・見解が分かれるのが「もらった名刺って誰のもの？」という点です。 実はこの部分を疎かにすると従業員の退職後のトラブルや下手すると情報漏えいの騒ぎと言った大きなトラブルに発展する可能性があります。 今回は「名刺」に焦点を当てた話をしたいと思います。   【そもそも誰のもの？】 そもそもの話ですが、サラリーマンの人が名刺交換でもらった名刺は誰のものなのでしょうか。 ①：直接もらった人のもの ②：もらった人が所属する会社のもの ③：名刺に書かれた個人情報本人のもの 正解は②になります。 会社の業務で名刺を交換しているわけですから、名刺をもらった人のものではなく、あくまで会社のものになります。 交換した名刺=自分のもの。と考える人が多いですが、そもそものところを間違っているケースが多いので注意です。 ここを間違っていると、会社も名刺をもらった人もその個人情報の扱いにおいて、トラブルを起こしてとんでもないことになってくる可能性があります。 だからこそ、会社で名刺の管理ルールはしっかり定めておいて、従業員に周知する必要があります。 個人任せになっていることも多いかと思いますが、最低限NGなことだけでも定めておいた方が無難と言えます。 例えば、個人的に使っている名刺管理アプリに会社で名刺交換した人の情報を登録しない。等になります。     【名刺に書かれた個人情報の利用目的】 次に名刺に書かれた個人情報の扱う上で利用目的です。 利用目的については別の記事でもご紹介しているのでそちらもご参照ください。 参照：個人情報の利用目的ってどんな感じにすべきなの？ 名刺情報の利用の目的ですが、基本的には「相手に連絡するため」「メルマガ等での情報提供」が主になるかと思います。 ここでも注意すべきなのは、あくまで自分が所属する会社として連絡をする、自社のサービス等に関する情報の提供を行う。です。 間違っても、相手が了承をしていないのに個人的・プライベートな連絡をすることはNGになります。 また、会社のものである以上、退職時には返却する必要もあります。 従業員の退職後に辞めた人が自身が持っていた名刺や名刺管理アプリ内に登録していた名刺情報を利用して営業を活動を行った。というトラブルは意外と多くあります。 営業を受けた側から言われれば話が早いのですが、辞めた人がいた会社からすると名刺が不正競争防止法に定められたいわゆる「営業の秘密」に該当するかが問題にもなります。 意外にも裁判例においても、会社を退社した役員による名刺帳持ち出し行為について、営業の秘密の該当性が争われた件について、『名刺記載情報が非公知とはいえず、同名刺帳に有用性・秘密管理性は認めれず、営業秘密ということはできない』（東京地方裁判所平成27年10月22日）と判示しています。   【退職時注意すべき点】 最後に退職時に名刺の扱いでトラブルにならないようにするために会社がどうすべきかです。 まず法律等で名刺を会社に返却しろ！と強要することは出来ません。上記に書いた判例にもあるように営業秘密とは言い切れない状況なので、あくまでお願いベースになります。 ただ、辞めた後にトラブルになるような事態は避けなければなりません。 そのためにも少なからず管理のためのルール作りや辞める時に誓約書などで返却・データでもっているものは削除してもらうようなことをきっちり対応しておくことが大事になります。   たかが名刺かもしれないですが、名刺1つで情報漏えいだ。とも言える時代でもあるので。しっかりと個人情報として管理することが重要です。  

2020.10.19

意外と悩む、個人情報保護の体制づくり

プライバシーマーク(以下、Pマーク)を取得するためには人が携わることは不可欠です。 取り組みそのものは書類を作るだけではなく、個人情報の管理の仕組みを運用するための責任者やそれをチェックするための責任者を最低限定める必要があります。 A3.3.4は主に人の役割やその役割における責任や権限について定めています。 今回はPマークの取り組みを行う上に必要な役割等について触れてみたいと思います。   【個人情報保護管理者】 絶対に定めないといけない役割の1つに個人情報保護管理者があります。 会社によっては名称が若干違うことがありますが、いわゆるPマークの取り組みにおける責任者になると考えてください。 取り組みにおいてはリーダーが存在しないとちゃんと取り組みが推進されないので、絶対に必要な役割になります。 では、どういった方がなるべきなのでしょうか。 要求事項の解説などでは「社外に責任が取れる方」が望ましい。と言われています。 会社における部長や取締役の方ですね。 やはり、なにかあった際には責任者として説明等を行うべき立場でもあるので、職務における権限もある程度必要になると考えられます。 ただ、ある程度役職が上の方は仕事でも忙しい立場でもありますので、なかなか理想通りにはいかないものでもあります。。。 ですので、実態として一番多いのが自社の個人情報を取り扱う業務について詳しい方、精通している方がケースとして一番多いです。 他には人事や総務と言った管理部門の方がなったりするケースもあります。     【内部監査責任者】 もう1つ絶対に立てないといけない役割が内部監査責任者です。 これはPマークの取り組み上必ず実施しなければならない、内部監査を実施する上での責任者になります。 この方についても要求事項としては「社外に責任が取れる」が望ましいとされています。 また、取り組みを行う上で個人情報保護管理者よりは職務上の役割が同等以上の方が望ましいと考えられます。 理由としては、個人情報保護管理者に対して「あなたこれ出来てないですよ」と指摘する必要があるため、仕事上の部下の方が内部監査責任者になってしまうとなかなか指摘がしづらいケースが出てきてしまうと考えられます。 ですので、出来れば個人情報保護管理者よりも職務上は上の方がベストではあります。 また、会社の社長は内部監査責任者にはなれないので注意が必要です。   【任命する上での注意点】 個人情報保護管理者や内部監査責任者を任命する上での注意点ですが、必ず別の方を任命する必要があります。 つまり、最低でも2名の人員が必要になるわけです。 ですので、1人しかいない会社ではPマークの取得は出来なくなってしまいます。。。 また、会社法上の「監査役」にPマークの役割を任命することも出来ないので、任命する際には注意が必要です。 この任命はちゃんと理解して行っておかないと審査機関にPマーク取得の申請を行っても審査を進めてもらうことが出来ないので必ず遵守する必要があります。  

2020.10.19

会社から感染したら教えろと言われたけど言わなくてOK？

新型コロナウイルスの感染者が日々増えていく中で、会社から「もし、新型コロナウイルスに感染してしまったら、すぐに会社に報告しなさい」と言われている人も多いのではないかと思います。 当事務所にもお客様から 「従業員に病気の情報等を聞くことは問題ないか」 「会社から教えろ！と言われたが個人情報保護の観点で問題ないか」 「従業員から聞いた情報は行政に伝える義務があるのか」 など相談をいただきます。 今回は会社が従業員から新型コロナウイルス感染した有無や病気に関することを聞くことが問題ないことかについて触れて行きたいと思います。   【感染した事実はどんな情報？】 個人情報保護法上で新型コロナウイルスに感染した事実はどんな情報にあたるかと言うと、「要配慮個人情報」という分類にあたります。 要配慮個人情報に関する詳細の説明は別のブログで説明してるのでそちらをご覧ください。 要配慮個人情報とは・・ 病気にかかった事実はこの要配慮個人情報に該当するため、会社は基本的に取得してはいけない個人情報となってきます。   【会社は何を根拠に聞くべきか】 では、会社は個人情報保護の観点で、新型コロナウイルスに感染した事実などを聞くことはダメなのでしょうか。 個人情報保護法の17条2項では下記のように定められています。 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 一　法令に基づく場合 二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 五　当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 六　その他前各号に掲げる場合に準ずるものとして政令で定める場合 ※個人情報保護法17条2項から引用 1号～5号が適用出来れば、同意を得ることもなく要配慮個人情報を取得することが可能になりますが、本人の同意を得ることが困難な状況とは言い難いため本人の同意を得て会社としては状況を把握することになります。 実際、インフルエンザにかかって出勤が禁止の判断を下すにしても、本人からの申告があってのことだと思いますので、会社としては蔓延しないように周知や従業員の方々が報連相しやすい状況を作っておくことが重要と言えます。     【従業員は感染を言う義務があるのか】 3つ目に従業員の方々は新型コロナウイルスに感染してしまった場合に会社に報告する義務があるかですが、上記でも触れた通り、会社としては情報を強制的に引き出すことが出来ない関係上、義務があるとは言い難いと言えます。 感染したことに気づかない、風邪をひいてはいるが検査を受けていないので判断がつかない。などの事情もあるかと思います。 別の法律から見た場合に感染症法では第4条の国民の責務の中でこういったことを定めています。 「国民は、感染症に関する正しい知識を持ち、その予防に必要な注意を払うよう努める」 ※感染症の予防及び感染症の患者に対する医療に関する法律4条から一部抜粋 努力義務にはなりますが、予防に必要な注意を払う意味では会社や関係各所等と連携して予防に努めるべきでもあると言えるでしょう。 会社としても新型コロナウイルスで様々な面で打撃をうけていることだと思います。 これ以上の拡大防止をしっかり行い、会社の事業活動を止めないようにしなければならないと思います。