INFORMATION
お役立ち情報
-
2020.10.19
個人情報が漏えいした時に意識しなければならないこと
緊急事態と聞いて皆さんどんなイメージをしますか?端的に「ヤバいことが起きた」などのイメージあるかと思います。 プライバシーマーク(以下、Pマーク)でも緊急事態というのは個人情報が外部に漏えいしちゃった、もしくはしちゃったかもしれない。みたいな形で「ヤバいことが起きた」を指しています。 今回はそんな個人情報が外部に漏れた!みたいな「ヤバいことが起きた」際にどんなことをやらなければならない。のかを勉強していきます。 【最初にすべきこと】 まず個人情報の漏えいが起きてしまった場合にやらなければならないことはどんなことかと言うと、事故・事件現場から偉い人への報告です。 事故の場合、発見者が当事者かもしれないですが、すぐに上司や個人情報保護管理者に報告しなければなりません。 よくご自身で事実確認をしたり、紛失などであれば数日探すなどありますが、まずは報告です! 報告した上でヒヤリハットであったり、紛失したものが見つかればそれで事無きを得ることになりますが、報告が遅れてしまうと被害が大きなったり、上司から「なぜすぐに報告しなかった」となってしまいます。 会社としてもそういった報告などがやり易い環境を作ることも重要ですね。 【事態の公表等】 次に必要になってくるのが起きてしまった内容等の公表です。 インターネットが発展したこの時代では会社のHPに第一報を載せたりするのが、主な手段になるかと思います。 公表の際にも事実確認を入念にしたり、不利益なことだから公表などは一切しない。など判断をする可能性もありますが、公表が遅くなると「なぜ今になって公表?隠してたの?」になりますし、社内から外に隠した事実が漏れてしまうと所謂「炎上」となり、さらに面倒なことになる可能性もあります。 ですので、ここでも迅速な対応が求められてくるわけです。 仮に受託などで預かっている個人情報の漏えい等したのであれば、委託元への報告は必ず行わなければいけません。(これが漏れていると契約問題以前の話になってしまいます・・・) また、事件の進捗なども適宜公表・報告することも重要です。 【被害の防止】 平行してすべきことは被害の拡大防止です。 紛失であれば、紛失したものを探す。メールの誤送信であれば誤送信先にそのメール内容の削除をしてもらう。などなど、起きてしまった個人情報の漏えい等の事故・事件の内容でやるべきことが変わってきますが、放置プレイをしていると二次被害が起きてしまって、さらになるクレームを生むことになってしまうので、しっかりとした対応がここでは求められます。 【再発防止】 被害の防止や事故・事件の全貌が見えてくれば、次に必要なのは再発防止です。 同じ事故・事件を何度も起こしてはダメなので、ちゃんとなぜこんなことが起きたのか「原因」をしっかり考える必要があります。 原因を潰さず再発防止は叶いません! 事実確認→原因追及→再発防止策の検討→再発防止の実施→ちゃんと実施出来ているかの確認 この流れが必要です。 内容はケースバイケースですが、流れはすべて一緒です。 例を挙げると ①事故内容:クリアデスクが出来ておらず机の上にあった書類を紛失してしまった。 ②原因:書類を保管するキャビネットが少なく、キャビネットが満杯で机に放置したままになっていた。 ③再発防止策:追加でキャビネットを購入する・ ④実施:キャビネットを購入して、設置した。 ⑤実施後の確認:キャビネットに書類がちゃんと仕舞われ、机の上に放置されることがなくなった。 【関係各所への報告】 最後に関係する役所などへの報告です。 まず、Pマークを持っている場合は必ず審査機関に報告しなければなりません。 最終的に何か処分が下されることになりますが、報告していなければさらに厳しい罰があるかもしれませんので必ず報告しましょう。 それ以外には個人情報保護委員会や監督官庁に報告が必要です。 Pマークをもっている場合、これらは審査機関・Pマークの認証機関が行ってくれるケースもありますが、個人情報保護委員会への報告は個人情報保護法の要求にもなるので、漏れないようにしなければなりません。 こういった緊急事態が起きるとみんなテンパってしまうため、実施漏れなどが起きてしまい、二次被害などにつながる可能性もあります。 専門家のサポートが必要でもあるので、相談先を確保しておくことをお勧めします。
-
2020.10.19
個人情報の利用目的ってどんな感じにすべきなの?
皆さんの会社にある個人情報について、「なぜこの個人情報を持っているんですか?」と聞かれて答えれない個人情報があったりしませんか? 実は会社が個人情報を持つ上ではちゃんと利用目的を定めておく必要があります。 履歴書の個人情報は採用選考や入社後の従業員管理のためです。みたいな感じです。 今回は個人情報を取得・管理する際の個人情報の利用目的について触れていきたいと思います。 【利用目的ってなに?】 利用目的ってなんですか?とたまに質問をもらいますが、言葉の通りで個人情報を利用する目的です。 個人情報をなぜ取得するのか。何のために使っているのか。みたいな感じですね。 皆さんの会社にある個人情報をイメージしてもらい、「何のために使っているのか」を想像してみてください。 イメージできるはずです。それは普段から仕事で個人情報を使っているので、その仕事内容が浮かんでいるのではないでしょうか。 ・採用選考のため・・・ ・メルマガ配信のため・・・ ・商品の発送のため・・・ などなど仕事内容によって様々です。 逆に会社にある個人情報で「何のために使っているのか」などが全くイメージ出来ないものがあった際には注意が必要です!! 【なぜ利用目的の特定が必要?】 なぜ個人情報の利用目的の特定が必要かと言うと端的に言うと個人情報保護法の中で求められているからです。個人情報保護法の中では15条で「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない」と定めています。(個人情報保護に関する法律から抜粋) 「できる限り」となっていますが、利用目的を定めておく必要があるわけです。 また、プライバシーマーク(以下、Pマーク)では要求事項のA3.4.2.1でも似たような記述となっています。 現地審査においては「できる限り」の文言は無視され、利用目的を特定しなければならない。取られているため、利用目的の定めていない個人情報があれば、指摘事項として特定しろ!と言われてしまいますが・・・ 【NGな利用目的ってあるの?】 では、その利用目的について、NGな利用目的などはあるのでしょうか。 結論としてはNGな記述はありません。 ただ、「可能な限り具体的」である必要があるので、「マーケティングのため」などざっくり過ぎる内容の場合はもっと具体的に例えば「年齢別の購入層を調査するマーケティングのため」など定める必要があります。 後、もちろんですが、コンプライアンス的にアウトな利用目的も注意が必要です。 例えば、「名簿業者に販売するため」なんかの利用目的だと具体的に定めているのでしょうが、コンプライアンスを考えるとNGとなってしまうように感じます・・・ このように利用目的1つにしてもある程度明確にしておかなければなりません。 また、Pマークを取得する上では必ず利用目的を定めて個人情報管理台帳に明記する必要もあります。 どうすべきか分からない方々はぜひクリアス法務事務所までご相談ください。
-
2020.10.19
個人情報保護に関する法令ってどんなものがあるの?
プライバシーマーク(以下、Pマーク)の取り組みを行う上で欠かせないのが、自社の個人情報の取り扱いに関わる法令の特定・維持です。 ご存知の通り、Pマークは取り組みの大元として「個人情報保護法」があります。 所謂、コンプライアンスが求められているわけです。 ただ、取り組む上では「個人情報保護法」だけを関連法令とするだけではNGで会社・業界など様々な関連する様々な法令を認識しておく必要があります。 【特定すべき法令】 では、どのような法令を特定する必要があるのでしょうか。 端的に分類すると下記のようなイメージになります。 個人情報保護に関わる法令・ガイドライン 情報管理、規制に関わる法令・ガイドライン 自社の業務に関わる法令・ガイドライン 大体はこのような分類に分かれてきます。 【個人情報保護に関わる法令・ガイドライン】 では「個人情報保護に関わる法令・ガイドライン」とはどのようなものなのでしょうか。 代表的なものは「個人情報保護法」になります。 これ以外にも個人情報保護委員会が発布しているようなガイドラインなどが対象になってきます。 【情報管理、規制に関わる法令・ガイドライン】 次に「情報管理、規制に関わる法令・ガイドライン」ですが、代表的なものとしては「不正アクセス禁止法」があります。 これは個人情報や機密情報などに対して不正なアクセスをさせないようにするための法律になり、Pマークの取り組み上は認識すべき重要な法令の1つになります。 自社の業務に関わる法令・ガイドライン 3つ目の「自社の業務に関わる法令・ガイドライン」ですが、これは様々あります。 例えば、社会保険労務士の事務所がPのマークを取得したい場合、社会保険労務士法を関連する法令として特定しておく必要があります。 つまり、自社の業界に関する法律や官公庁が発行しているガイドラインを認識・特定しておく必要があります。 また、要求事項であるJISQ15001:2017の附属書A内では「特定」し、「参照」できるよう求めています。 一覧表などでまとめて、必要なときに見れるようにしておく必要があります。 それ以外にも「維持」という単語も入っているため、ちゃんとメンテナンスを行い、最新の法令を認識しておく必要があります。 法律の内容確認や把握は素人にはなかなか難しいものになります。 こういったことは専門家に任せてることをお勧めします。
-
2020.10.19
取り扱い要注意!?要配慮個人情報ってなんですか?
「要配慮個人情報」という言葉は皆さんご存知でしょうか? この言葉は現行の個人情報保護法の中で新しく定義された用語になります。 単語を置き換えると「配慮を要する個人情報」と読め、ざっくり言い換えると「取り扱いに注意が必要な個人情報」を指します。 これまで法律では定義されていませんでしたが、プライバシーマーク(以下、Pマーク)では「特定の機微な個人情報」というものがあり、それとほぼ同じ意味にはなってきます。 今回は、そんな「要配慮個人情報」について解説してみたいと思います。 【具体的にどんな情報?】 要配慮個人情報と一言で言っても具体的にどんなものを指しているのか分かりづらいと思います。 個人情報保護法の施行令では下記のようなものが上がっています。 ・人種 ・信条(どんな宗教を信仰しているか等) ・社会的身分 ・病歴 ・犯罪の経歴 ・犯罪により害を被った事実等 ・身体障害、知的障害、精神障害等の障害があること ・健康診断その他の検査の結果 ・保健指導、診療・調剤情報 ・本人を被疑者又は被告人として、逮捕、捜索等の刑事事件の手続が行われたこと、 ・本人を非行少年又はその疑いがある者 ※個人情報の保護に関する法律施行令を参照 【精神的・社会的にダメージを被る可能性のある情報】 具体例を書いたとして固い言葉になっていますが、分かりやすく言うと「もし情報漏えい等した場合に自分の受ける精神的・社会的ダメージが大きい情報」が要配慮個人情報であると考えてください。 病歴や障害など他人に知られたくない人は多いと思います。それ以外にも自分の前科や犯罪の被害にあった事実を知られたくないことも同様だと思います。 つまり最終的には差別や迫害に繋がってしまう個人情報となってきます。 どんな宗教を信仰しているか。などはその最たるもので信仰する宗教の違いで昔から戦争が起きたりしています。 【Pマーク上の取り扱い】 Pマーク上も要配慮個人情報の取り扱いについてはかなり厳しいものになっています。 要配慮個人情報を多く取り扱う病院などでは審査する機関が専門の審査機関となっており、審査の基準もさらに厳しいものになっています。 また、要配慮個人情報が情報漏えいしてしまうと通常以上に厳しい処分が下される可能性もあります。 図書館で本の貸出情報が外部に漏えいした事案では、本の貸出システムの事業者が2カ月間の認定停止処分になりました。(図書の貸出情報についてはその人の思想や信条を示す情報に当たると考えられます) このように要配慮個人情報の取り扱いについてはかなり厳重に行う必要があります。 関連記事:センシティブ・機微・要配慮・・それぞれの違いってなんですか?
-
2020.10.19
住所変更漏れで書類の誤送付!これってどっちの責任?
郵便物をお客様に送ることは多くの企業でやっていることです。 対個人のサービスを行っているとなおのこと多くなってきます。 そんな中、顧客側の個人のミスなどで書類の送り先となる住所の変更がなされていないこともあります。 こちらは正しい住所に郵便物を送ったのに、送り先には別の人が住んでいて、郵便物を開けられてしまった・・・なんてことを経験したことがある会社も多いのではないかと思います。 宛名に書かれている個人情報はもちろん郵便物の中身を見られてしまったことで個人情報が漏えいしてしまった。というケースもあります。 その場合、一体誰の責任なのでしょうか・・・ 今回は「住所変更漏れなどで個人情報が漏えい等してしまった場合」の責任問題について、個人情報保護法等の観点から解説をしてみたいと思います。 【漏えい時の報告義務】 まず、漏えい等が起きてしまった場合ですが、個人情報保護法上に明確な報告義務は明記されていません。(2020年5月現在) 実は個人情報保護法42条(勧告及び命令)に下記のような記述があります。 第四十二条 個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条(第四項を除く。)、第二十四条、第二十五条、第二十六条(第二項を除く。)、第二十七条、第二十八条(第一項を除く。)、第二十九条第二項若しくは第三項、第三十条第二項、第四項若しくは第五項、第三十三条第二項若しくは第三十六条(第六項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。 ※個人情報保護法42条1項から引用 企業が守るべき様々な事項について、違反があった場合に個人情報保護委員会は介入することが出来ます。 個人情報保護委員会への報告についてはあくまで「個人データの漏えい等の事案が発生した場合等の対応について(平成 29 年個人情報保護委員会告示第1号)」で定められた努力義務事項になっています。 2020年5月現在、個人情報保護法上での報告義務化への改正が進んでいますが、現時点では個人情報の漏えい等があって報告をしていなくとも法律違反とはならないことになっています。 ただ、ほかの業法等で報告義務があるときは別ですので、注意してください。 もちろん、会社として報告・公表等していなかったら、社会的信用に関わるケースもありますが些細なことまで報告義務は「ない」ということになります。 【どっちの責任】 次に正しいと思ったに誤送付してしまった場合、どっちが悪いのでしょうか・・・ 顧客からすれば、自分あての郵送物が他人に送られてしまったわけですから、会社が悪い!と思うことでしょう。 会社の方からしても、変更してないそっちの責任。になります。 結論を先に言ってしまうと、ケースバイケースにもなり、どっちに責任があるかは断言できない。になります。 こういった問題について、個人情報保護法はどっちの責任になる。と定めてはいません。 誤送付による精神的苦痛などがあり、会社側に過失がある。やプライバシーが侵害された。など民事の裁判で争える点は多々あるようにも感じます。 今回は民法などは考慮にいれず、あくまで個人情報保護法上だけの見解になります。 ただ、会社として過失ないこと、少ないことをどこまで証明できるかがポイントにはなると考えられます。 【会社を守るためにやっておくべきこと】 上記で述べた「過失」の点についてですが、個人情報保護法の観点からで行くと過失を少なくするためにどういったことが考えられるでしょうか。 個人情報保護法19条(データ内容の正確性の確保等)に書かれていることをどこまでしっかり行っているかが1つのポイントになってきます。 第十九条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 ※個人情報保護法19条から引用 「個人データを正確かつ最新の内容に保つ」ことをどこまで頑張っていたか。です。 例えば、引越した場合の住所変更の手続きなどが分かりやすくなっているかリマインドしているかなど、今回の誤送付の問題に関して言うと、顧客に対して、住所変更についてどこまでわかりやすく促せているかが重要です。 また、仮に解約した人がいたとして、間違ってそこに書類などを送付した場合もこの法律の努力義務にかかってきます。「利用する必要がなくなったときは、当該個人データを遅滞なく消去する」という点です。 個人情報保護法では会社がもつ個人データについてちゃんとその内容が正確であるよう努力することを求めていますので、会社として個人情報取扱事業者としてどこまで頑張っているかで、「過失」の度合いが変わってくると考えられます。 【まとめ】 完全にもらい事故のような個人情報の漏えいかもしれませんが、会社として「何も悪くないです」とは一概に言えないケースもあります。 個人情報の取扱いをちゃんとルール化してどこまで取り組めているかが自社を守るのに必要になってきます。
-
2020.10.19
新型コロナウイルスに伴うPマーク審査等の対応について
新型コロナウイルスの影響は様々なところに出ていますが、Pマークについても影響が出てきていて、審査・申請・各種問い合わせ対応を中止、延期してきています。 一部、審査期間によって対応が違うところがありますが、基本的に下記の通りになっています。 【更新申請期限について】 更新申請期間中に、、更新申請手続ができなくなったPマーク取得企業について、更新申請の期限をプライバシーマーク付与契約の有効期間の満了日まで延長となっています。 ※本来は有効期限満了日の8か月前から4か月前までに申請の必要があります。 【現地審査について】 現地審査については当面の間、延期となっています。現地審査日が決定している、または日程の調整中の企業には、個別に連絡しての相談・調整となります。 【個人情報の取り扱いに関する事故報告について】 原則、速やかに報告だったのが、対応が可能になった時点での提出でOKになりました。 重大な事故が発生した場合や、提出までに時間がかかる可能性がある場合には、直近の審査を受けた審査機関へメール等で連絡するか、JIPDECに連絡してほしい。とのことです。 Pマークは許認可のように、期限がある制度あるし、事故報告についても社会的影響が大きいケースもあるので、このような緊急事態の状況化でどのようにすればいいか、示してくれているのか助かるところです。 引用・出典元:JIPDEC 新型コロナウイルス感染症への対応について(現地審査の延期等)
お問い合わせ
営業時間:9:30~19:00(メールによる受付は24時間)定休日:日曜日
事前のご予約で夜間、土日祝日でも対応可能