2020.10.19

プライバシーマークで求められるリスク分析のやり方

プライバシーマーク(以下、Pマーク)の取り組みで最大と言って良い山場はリスクアセスメントと言えます。 リスクアセスメントで手を抜くとその後の取り組みに大きな影響が出てしまい、認証取得を目指す上で逆に大きな障害になってしまいます。 たかがリスクアセスメントされどリスクアセスメントというわけです。 今回はそのリスクアセスメントについて取り組みを行う上でのポイントを触れてみたいと思います。   【なぜ手抜きしてはダメなのか】 リスクアセスメントを手抜きしてはダメな理由としては大きく3つのことが上げられます。 特定した個人情報をベースにリスクアセスメントを行うため、手抜きをしてしまうと自社の個人情報に対するリスク・対策が見えなくなってしまう リスクアセスメントの結果、出てくるリスク対策は自社の個人情報管理のルールの元になるため、手抜きをするとルールにヌケモレが出る。 リスクアセスメントを手抜きすると情報漏えいにつながる心配事が見えないので、情報漏えいが実現してしまう可能性が一向に下がらない。 結論として、リスクアセスメントをしっかり行うことで会社の個人情報保護のルールがしっかりと出来上がってくると言えます。     【リスクアセスメントの進め方】 ではPマーク上のリスクアセスメントはどのように進める必要があるのでしょうか。 ISMSなどではある程度自由なリスクアセスメントが出来ますが、Pマークは逆に縛りが結構厳しいと言えます。 ポイントは下記の3つです。 個人情報のライフサイクル(取り扱いの流れ)に沿ってリスクアセスメントを実施する すべての個人情報が対象になる 取り扱いが同じものはグルーピングして構わない まず、リスクアセスメントを実施する際には個人情報の流れを把握してそこにどんなリスクが想定されるかイメージします。 例えば、①履歴書を受け取る→②面接で使用する→③書庫で保管する→④不採用だったので破棄する こう言った流れがあった場合に①～④をPマークでよく言われるライフサイクルに当てはめてどんなリスクがあるか想定します。 ※ライフサイクルは取得・利用・保管・移送・廃棄・委託と言った個人情報の流れのカテゴリを指します。 想定したリスクが実現しないようにするためにどんな対策があるか検討・決定し、それを書いていくわけです。 Pマークはすべての個人情報に対してリスクアセスメントを求めているのですべてが対象になりますが、取り扱いの流れ(ライフサイクル)が同じ個人情報についてはグルーピングし、まとめてリスクアセスメントを行って良いとしています。 ※余談ですが、、、審査ではよくライフサイクル上リスクがないフェーズはないと言われます・・・ 上記のようなものをリスクアセスメント結果として帳票にまとめ結果を残す必要があります。   【残留リスクとは】 また、リスクアセスメントを行った際には必要に応じて残留リスクを把握し、管理する必要があります。 以前のPマーク状は残存リスクという言葉でしたが、2017版になり残留リスクとなりました、。 要求事項であるJISQ15001：2017のA3.3.3では残留リスクについて「現状で実施し植える対策を講じた上で、未対応部分を・・・」と記述しています。 つまり、リスク対策を行った上で未対応となった部分について残留リスクとして把握し、管理を行うことを求めています。 昔よくあったのが、「ダブルチェックを行う」というリスク対策を書いたら、「チェック漏れが起きてしまう」という残存リスクを書かれるケースがありましたが、こういった堂々巡りになるようなものはは対策を講じた上で、残りうる未対応部分とは言えないので、書く必要はありません。 Pマーク上のリスクアセスメントはやり方はある程度決まっているものになりますが、奥が深くポイントを把握してないとなかなか抜け出せなくなります。 Pマークを効率よく取得することを目指す場合、知見を持つ専門家への相談は不可欠になります。

2020.10.19

プライバシーマークで求められる個人情報保護方針ってどんなものですか？

プライバシーマーク(以下、Pマーク)を取得する際には必ず「個人情報保護方針」というものを作成する必要があります。 最近はPマーク云々関係なく様々な会社で個人情報保護方針(プライバシーポリシー)を作成していますが、Pマーク取得を目指す上ではどんな内容でもOKというわけではありません。 今回はPマークで必要になる個人情報保護方針について規格であるJISQ15001:2017の内容も踏まえて触れていきます。   【個人情報保護方針とは】 そもそも個人情報保護方針はなんなんでしょうか。 結論を言ってしまうと、会社としての個人情報の取扱について宣言した文書になります。 会社がどんな考えを持って、個人情報を扱いうのか、どのように管理をするのかを謳った文書になります。 また、こういった文書は単に作っていても意味がありませんので、社内外に周知をはかるためにもWebサイトに公表したり、オフィスに掲示したりして周知を行います。 社外の人からすると会社がどんな考えを持っているのか知るためのものになりますし、従業員の方々からすると自分たちがどうすべきかを知るための文書にもなります。(遵守すべき具体的なルールは個人情報保護方針に記載することはありませんが・・・)     【内部向け個人情報保護方針】 Pマークでは規格であるJISQ15001:2017附属書Aにて「内部向け個人情報保護方針」と「外部向け個人情報保護方針」を分けて記述しています。 A3.2.1である内部向け個人情報保護方針では a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。］。 b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守すること。 c) 個人情報の漏えい，滅失又はき損の防止及び是正に関すること。 d) 苦情及び相談への対応に関すること。 e) 個人情報保護マネジメントシステムの継続的改善に関すること。 ※JISQ15001:2017附属書Aから一部抜粋 上記のような文言が書かれています。 つまり個人情報保護方針には上記a)～e)を文書に書いて個人情報保護方針を作る必要があるわけです。 これらの内容をできるだけコンパクトにまとめ自社の文章として仕上げていくことがポイントになります。 特に「事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること」などは会社の特色が出る部分になります。   【外部向け個人情報保護方針】 JISQ15001:2017附属書Aではもう1つ「外部向け個人情報保護方針」があります。 これは外部に公表する個人情報保護方針についてのプラスアルファの要求になり、下記をプラスすべきと書かれています。 a) 制定年月日及び最終改正年月日 b) 外部向け個人情報保護方針の内容についての問合せ先 ※JISQ15001:2017附属書Aから一部抜粋 いつ制定・改訂されたものか、問い合わせ先を明確にする。などが必要になります。 また、規格内には「一般の人が入手可能な措置を講じること」と記載されています。 HPに掲載するなど、外部の人たちに周知するための対応をしなければならないことまで求められています。   個人情報保護方針1つとってもなんでもOKなわけではありません。 ちゃんと規格と自社の内容を合わせて作成する必要があるので、注意が必要になります。

2020.10.19

プライバシーマークで求められる文書規定について

プライバシーマーク(以下、Pマーク)の取得に向けた取り組みの中で必ず求められるものが、「文書」です。 いわゆる社内規程としての個人情報保護規程やJISQ15001:2017附属書Aについての取り組みの中で文書化が求められているものについて手順を含めた文書の作成が必要になります。 実際に作成した文書はPマークの申請時には審査機関に提出する必要もあり、作成出来ていなかったらPマークを取得することは出来ません。     【文書化が必要なものについて】 JISQ15001：2017附属書Aでは下記について文書化することを求めています。 a) 個人情報を特定する手順に関する規定 b) 法令，国が定める指針その他の規範の特定，参照及び維持に関する規定 c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定 d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に 関する規定 e) 緊急事態への準備及び対応に関する規定 f) 個人情報の取得，利用及び提供に関する規定 g) 個人情報の適正管理に関する規定 h) 本人からの開示等の請求等への対応に関する規定 i) 教育などに関する規定 j) 文書化した情報の管理に関する規定 k) 苦情及び相談への対応に関する規定 l) 点検に関する規定 m) 是正処置に関する規定 n) マネジメントレビューに関する規定 o) 内部規程の違反に関する罰則の規定 ※JISQ15001：2017附属書Aから抜粋   上記には15個の項目があります。 つまり、この15個の項目について文書化されたものが必要になります。 すごく膨大な量に見えます。 ただ、一点気をつけてもらいたいのはアルファベットの書かれている内容の語尾はすべて「規定」であって「規程」ではありません。 つまり、a)～o)についてすべてを個別の冊子として作る必要はなく、上記についてルール・手順や取り決めがあれば問題ありません。   【文書のまとめ方について】 附属書A内で文書化が求められているものについて、文書の数やページ数は特段定められていません。 付属書Aや審査の基準の中で文書・手順が求められるものについてしっかりまとまっていれば、問題なく15冊でも1冊でもPマークを取得することは可能です。 後は実際に会社として取り組む上でどの程度の文量や手順の細かさ、精密さが必要になるかです。 このあたりについては会社の規模や経営者の考え方で変わってくる部分にもなりますので、取り組みを進める上での要相談事項になってくると考えてもらえればと思います。  

2020.10.19

ベネッセ顧客情報流出、逆転賠償命令を受けて

2020年3月25日にベネッセコーポレーションの顧客情報流出をめぐり、顧客が損害賠償を求めた2件の訴訟の控訴審判決で、東京高裁は計622人に対し、1人当たり3300円を支払うようベネッセ側に命じる判決を出しました。 今回の賠償判決における総額は約200万円となります。 いわゆるベネッセ事件が起きてからすでに6年が過ぎますが、1つの民事訴訟での高裁判決が本日でました。 この判決を受けての考察・ベネッセ事件の振り返りを今日はしたいと思います。   【そもそもベネッセ事件とは】 2014年に起きたベネッセ事件はベネッセが保有する顧客情報を業務委託先の従業員が約3500万件の顧客情報を持ち出し、名簿業者に売却した事件となります。 発生時は日本で最大規模の個人情報漏えい事件として取り上げられられ、ベネッセは取得していたプライバシーマークの認証を取り消される事態になりました。 個人情報を流出させた業務委託先の従業員は不正競争防止法違反（営業秘密の複製、開示）の罪で逮捕され、2017年に懲役2年6カ月、罰金300万円の判決が下された。 漏えいした個人情報は多くの名簿業者に出回り、経済産業省は各名簿業者や名簿を購入したとされる事業者に対して、利用の停止などを求めたり、不正に入手された名簿と知りながら業者に転売した疑いがあるとして、警視庁生活経済課は名簿業者の事務所など、関係先6カ所を不正競争防止法違反容疑で家宅捜索した。   【今回の民事判決を受けて】 今回の判決において裁判長は「情報が流出したことで私生活上の不安や失望感を生じさせた」というコメントを出しています。 やはり個人情報が外部の漏えい等すると、不正利用され予期せぬDMや電話などで普段の生活を邪魔される事態になってしまいます。 もちろん、そこにクレジットカードの情報なども一緒に漏えいしていることになれば、カードの不正利用で金銭的な損害を被る可能性もあるわけす。 ベネッセ事件において、クレジットカード情報が漏えいした事実はありませんが、この事件においては個人に与えた苦痛もありつつも社会的影響が非常に大きい事件になります。 その中で今回の判決では2018年12月27日の東京地方裁判所の判決でグループ会社のシンフォームに出た一人あたり3300円の賠償と同じ額の判決が出ています。 これはおそらく、シンフォームでの判決に額を合わせた。ということにはなるのでしょうが、仮に外部に漏えいした3500万人全員へ賠償するとなると、1155億円になります。 額だけ見ていると途方もない数字になります。 大規模な会社でさえ、この額の賠償をするとなれば会社が傾くことになります。一人に換算するとこの程度の額なのか。かもしれないですが、総額で考えるととてつもない額になりますし、おそらく今後の類似の事件・事故が起き、民事裁判となれば、この額が一つの目安になってくるものと考えられます。     【今後の情勢】 個人情報の取り扱いについては、世界的にシビアになっているのはご存知の通りです。 ヨーロッパのGDPRはもちろん、日本での2020年には個人情報保護法が改正され、事故報告の義務化などさらに厳しくなります。 ベネッセ事件や他の事件でも個人情報を漏えいさせたり、不正に扱うことで逮捕される人が出ているものも事実で昔であれば考えられなかったことかもしれません。 ただ、これが現実であり、今の世の中が変だ。と思う人は今の世の中で個人情報を扱うことはリスクだけを抱えることになり、相応しくないと思います。   これからも情報の価値は上がっていくと考えられるからこそ、それを扱う人のリテラシーの向上が急務と言えてきます。  

2020.10.19

愛知県の新型コロナ個人情報誤掲載から見るネットに個人情報が公表されることの危険性

5月5日に愛知県が新型コロナウイルス感染者の氏名や入院先などの個人情報を、県の公式サイトで誤って公開したことを発表し、謝罪しました。 県の発表にによると、５日午前９時半頃から同１０時１５分頃までの約４５分間、県内感染者４９５人の個人情報が閲覧できる状態に。感染者の氏名、入院先の医療機関、入院日、退院日などが掲載されていたとのことです。 サイトの閲覧数は重複を除き３６２件あり、発表段階では二次利用等はなされていないとのことでした。 この事件、個人情報保護の考えの中でどれだけ問題があるのでしょうか。 なかなか、ピンとこない人もいるかもしれません。 今回はこの事件がどれだけ、個人情報保護を考える上で問題があるのか触れていきたいと思います。   【誤記載された個人情報】 今回誤記載されたのは「感染者の氏名、入院先の医療機関、入院日、退院日」になります。 プラス新型コロナウイルスに感染した事実も分かるようになっています。 これは個人情報保護法上、要配慮個人情報に該当し、センシティブな個人情報となります。 詳細は「取り扱い要注意!?要配慮個人情報ってなんですか？」に記載しています。 端的に言うと、万が一外部に漏えい等してしまうと社会的影響が大きい情報になります。 今回、県は感染症法などに基づいて個人情報を収集・利用していた形になりますが、その詳細については「コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？」にも詳細を記載しています。   【誤記載でどんな影響が出るのか】 今回の新型コロナウイルス感染者のリストが漏えいしたことがどんな問題に発展するのでしょうか。 いくつか想定することが出来ますが、1つ大きな例を挙げると「差別」です。 新型コロナウイルス感染者リストに載っている人が世の中から差別されることが問題となります。 ニュースなどでも新型コロナウイルスの感染者が差別されたり、不当な扱いを受けた。という記事を見かけますし、新型コロナウイルスの診察をした病院が中傷された。など耳にします。 こういった個人情報がインターネット上に掲載されたりしますと世界中に発信されてしまいますし、住所は載っていないにしても、入院している病院などから住所やSNSなどが特定されてしまう可能性もあります。     つまり、インターネット上に公表されてしまうと自分の全てがすっ裸の状態にされてしまうと言っても過言ではありません。 インターネット上なので、事実以外にも勝手な嘘を書かれてしまう可能性があり、その人へのダメージは計り知れないものになります。   【どう対処すべきなのか・・・】 今回の新型コロナウイルスの感染者リストに限らず、万が一個人情報がインターネット上に漏えいしてしまい、いろいろ心無いことが書かれた場合ですが、主に下記のような問題になります。 ・名誉棄損 ・侮辱 ・プライバシー侵害 これらについて相談できる先は主に下記となります。 ・警察(サイバー犯罪相談窓口) ・弁護士や行政書士など法律家(ネットに詳しいことが条件) ・対策事業者 対策事業者は主に法人への対応が多くなってきますので、個人の方が相談する先としては警察や法律関係者になってくるかと思います。 こういったことはいち早く対応しないと一生残り続ける可能性もあるので、万が一被害にあった際には早急な相談・対応が必要がなってきます。

2020.10.19

意外と知らない、もらった名刺の情報は誰のもの？

皆さん、仕事で名刺交換したことありますよね？ 仕事をしていれば誰もが経験するものだと思います。 ただ、意外と皆さん認識・見解が分かれるのが「もらった名刺って誰のもの？」という点です。 実はこの部分を疎かにすると従業員の退職後のトラブルや下手すると情報漏えいの騒ぎと言った大きなトラブルに発展する可能性があります。 今回は「名刺」に焦点を当てた話をしたいと思います。   【そもそも誰のもの？】 そもそもの話ですが、サラリーマンの人が名刺交換でもらった名刺は誰のものなのでしょうか。 ①：直接もらった人のもの ②：もらった人が所属する会社のもの ③：名刺に書かれた個人情報本人のもの 正解は②になります。 会社の業務で名刺を交換しているわけですから、名刺をもらった人のものではなく、あくまで会社のものになります。 交換した名刺=自分のもの。と考える人が多いですが、そもそものところを間違っているケースが多いので注意です。 ここを間違っていると、会社も名刺をもらった人もその個人情報の扱いにおいて、トラブルを起こしてとんでもないことになってくる可能性があります。 だからこそ、会社で名刺の管理ルールはしっかり定めておいて、従業員に周知する必要があります。 個人任せになっていることも多いかと思いますが、最低限NGなことだけでも定めておいた方が無難と言えます。 例えば、個人的に使っている名刺管理アプリに会社で名刺交換した人の情報を登録しない。等になります。     【名刺に書かれた個人情報の利用目的】 次に名刺に書かれた個人情報の扱う上で利用目的です。 利用目的については別の記事でもご紹介しているのでそちらもご参照ください。 参照：個人情報の利用目的ってどんな感じにすべきなの？ 名刺情報の利用の目的ですが、基本的には「相手に連絡するため」「メルマガ等での情報提供」が主になるかと思います。 ここでも注意すべきなのは、あくまで自分が所属する会社として連絡をする、自社のサービス等に関する情報の提供を行う。です。 間違っても、相手が了承をしていないのに個人的・プライベートな連絡をすることはNGになります。 また、会社のものである以上、退職時には返却する必要もあります。 従業員の退職後に辞めた人が自身が持っていた名刺や名刺管理アプリ内に登録していた名刺情報を利用して営業を活動を行った。というトラブルは意外と多くあります。 営業を受けた側から言われれば話が早いのですが、辞めた人がいた会社からすると名刺が不正競争防止法に定められたいわゆる「営業の秘密」に該当するかが問題にもなります。 意外にも裁判例においても、会社を退社した役員による名刺帳持ち出し行為について、営業の秘密の該当性が争われた件について、『名刺記載情報が非公知とはいえず、同名刺帳に有用性・秘密管理性は認めれず、営業秘密ということはできない』（東京地方裁判所平成27年10月22日）と判示しています。   【退職時注意すべき点】 最後に退職時に名刺の扱いでトラブルにならないようにするために会社がどうすべきかです。 まず法律等で名刺を会社に返却しろ！と強要することは出来ません。上記に書いた判例にもあるように営業秘密とは言い切れない状況なので、あくまでお願いベースになります。 ただ、辞めた後にトラブルになるような事態は避けなければなりません。 そのためにも少なからず管理のためのルール作りや辞める時に誓約書などで返却・データでもっているものは削除してもらうようなことをきっちり対応しておくことが大事になります。   たかが名刺かもしれないですが、名刺1つで情報漏えいだ。とも言える時代でもあるので。しっかりと個人情報として管理することが重要です。