この章では、最近発生した個人情報の漏えい事件・事故を紹介します。どの事件も決して特別なことが原因になったのではなく、ちょっとしたミスが大きな事件につながっています。一度漏えい事件を起こしてしまうと、それまで築いてきた信用・信頼が一瞬にして失われてしまいます。失われた信用を回復するのは簡単なことではありません。
情報漏えいは他人事ではありません。ちょっとした油断で、いつ何時自分の身に降りかかるかわかりません。当事者にならなくていいように、この章で挙げた事件・事故から問題のある行動や考え方などを学んでください。
1.1 標的型攻撃による情報漏えい
2015年6月、日本年金機構において約125万人もの個人情報が漏えいしたことが公表されました。
漏えいは標的型攻撃によるもので、2015年5月以降、複数の職員が標的型攻撃メールを受信、そのうちの5名がメール内のリンクをクリックしたり、添付ファイルを開封したりすることでマルウェアに感染したことが判明しています。
年金加入者の個人情報が格納されている基幹システムは論理的に独立したネットワークで利用されており、本来は安全なはずでしたが、業務で利用するため職員が一部データを抽出し、イントラネット内のファイルサーバ上に保管していたため、この情報が感染した端末を通じて漏えいしました。
【事件の経緯】
【事件から学ぶこと】
日本年金機構では、年金加入者の個人情報を取扱う基幹システムはイントラネットとは論理的に隔離されていました。しかし、業務で利用する目的で一部のデータをファイルサーバに抽出保管していたため、このデータが漏えいすることとなりました。
ファイルサーバへの保管は例外として認められていましたが、その場合、パスワードで保護するというルールがありました。しかし、このルールは徹底されておらず、結果的にパスワードにより保護されない状態で、ファイルサーバ上に格納されていました。
今回のケースでは125万件もの個人情報を共有しているファイルサーバ上に保管していたため、大きな被害へとつながりました。本来、例外としてのみ認められていたはずが常態化していたことが指摘されています。また、パスワードで保護するというルールも形骸化していました。
標的型攻撃は年々増えており、その手法も洗練化されています。そのため、仮に攻撃を受けても被害が拡大しないよう、適切に個人情報を保護しておくことが重要です。また、定められているルールを順守することはもちろん、ルールが守られているかどうかチェックする仕組みも必要です。
1.2 不正アクセスによる情報漏えい
2015年2月、ドメインサービスを提供する事業者が不正アクセスを受け、登録情報が漏えいしたと発表しました。
前月にサーバのメンテナンス作業を実施した際、本来設定しなければならない管理者画面のアクセス制限を設定しないままにしてしまったため、何者かにユーザ情報を全件取得するコマンドを実行され、顧客情報がすべて盗まれてしまいました。また、パスワードを暗号化せずに保管していたため、一緒に盗み出されています。
【事件の経緯】
【事件から学ぶこと】
このケースでは、人為的なミスから不正アクセスを招くことになりました。また、本来、暗号化すべきパスワードのような重要な情報が平文のまま保存されていました。
重要な情報が格納されているサーバのメンテナンス作業においては、手順書を使いミスがないようにするなどの対策が必要です。また、パスワードなどは暗号化して保存する必要があります。
1.3 内部犯による情報漏えい
2015年12月、大阪府某市において、平成23年当時の市内すべての有権者およそ68万人分の個人情報が漏えいしたことが判明しました。流出した個人情報は、同市の職員Aが無断で持ち出していました。職員Aは、自身が借りていたレンタルサーバ上に自作の選挙システムを構築し、データとして利用していましたが、このデータは第三者がアクセス可能な状態でした。
職員Aは情報が記録された外付けハードディスクをカバンに入れ、通勤していました。また、選挙のたびに有権者情報をディスクに移し更新していました。
【事件の経緯】
この事件では、2015年6月に「インターネット上に不審な情報がある」との匿名によるメールが寄せられていましたが、市は3か月もの間、通報者に連絡をしませんでした。
通報者は、別途セキュリティ対策を手掛ける団体に同様の通報を行っていたため、レンタルサーバ会社を通じて連絡を受けた職員Aがレンタルサーバからデータを消去し、外付けのハードディスクの初期化を行うなど証拠隠滅を図っていました。
その後、消去されたデータを業者に依頼し復元するなど調査を行ったことで、職員Aの行為が発覚し、懲戒解雇となりました。
【事件から学ぶこと】
この事件では、2015年4月から6月までの間、レンタルサーバ上のデータに第三者がアクセス可能な状態でした。ログなどから、実際にアクセスしたのは一人で、2次被害は確認されていないと市は発表しています。しかし、検索エンジンのキャッシュからアクセス可能なデータもあったため、2次被害がなかったとは言い切れません。
住民の個人情報を持ち出し、自作の選挙システムのデータとして利用していた職員Aのモラルに問題があったのはもちろん、他にデータを提供した職員が複数いるなど、この事件では組織全体の個人情報に対する意識の低さが浮き彫りになっています。
個人情報を安易に持ち出させないような仕組みを構築するとともに、個人情報に対する意識の強化やモラルの向上など、人的な対策も必要です。合わせて、個人情報が含まれたデータを簡単に持ち出せないようなシステム面の強化も必要です。
1.4 マイナンバー誤記載
2015年10月、某市において住民票自動交付機の設定ミスにより、マイナンバーを記載した住民票69世帯100人分を誤って発行したことが判明しました。マイナンバーの記載は本人の意思確認が必要ですが、確認なしに自動的に記載される設定になっていました。
マイナンバーが誤記載された住民票を受け取った69人のうち、42人が金融機関や公共機関に住民票を提出しており、第三者にマイナンバーが渡ったことになります。
【事件の経緯】
【事件から学ぶこと】
この事件では、委託業者が設定を怠ったことでマイナンバーが誤記載されることになりました。委託元である市も確認をしなかったことがわかっています。
委託業者による作業については委託元も作業内容を確認するなど、監督、監視する必要があります。
特に、マイナンバーは厳格に管理しなければなりません。今後、マイナンバーの利用が進むにつれ、リスクは高まりますので注意が必要です。
1.5 仕様上の不備をつかれ情報漏えい
2015年11月、大手都市銀行Bにおいて、同行が提供するテレフォンバンキングを通じて利用者の個人情報が漏えい、架空請求詐欺に悪用されていたことが判明しました。約1万4千件の電話番号またはカナ氏名が漏えいしました。
【事件の経緯】
攻撃者は、特定の操作をすると誰でも明細を聞くことができるというテレフォンバンキングシステムの仕様上の不備をついて振込み明細を聴取し、振込者の電話番号またはカナ氏名を入手しました。出会い系サイトでは料金を振り込む際に「氏名」ではなく「電話番号」を入力するよう指定しているものが多かったため、攻撃者は電話番号を入手し、架空請求に悪用したものとみられています。
【事件から学ぶこと】
この事件では、テレフォンバンキングの仕様上の不備が悪用されました。その不備は長年見過ごされていました。
比較的新しいシステムはセキュリティが考慮されているものが多いですが、長年使用されているシステムや仕組みにおいては、セキュリティ上の不備があることがあります。
個人情報を取扱うシステムや仕組みにおいては、一通り洗い出しを行い、セキュリティ観点で不備がないかどうかを確認する必要があります。
この章では、個人情報保護法について学びます。そもそも個人情報とは何なのか、法律では個人情報の保護についてどういったことを規定しているのかなどを学びます。また、個人情報保護法が成立するまでの経緯や、個人情報の保護に関する外国の状況についても見ていきます。
この章で学ぶことは、個人情報保護の基礎となるものです。特に「個人情報」「利用目的・本人の同意」「個人データの管理」の3項目は、個人情報の取り扱いにおいて非常に重要な意味を持っています。この3つの項目は絶対に忘れないようにしましょう。
2.1 個人情報保護法とは
個人情報保護法は「個人の人格尊重」という理念に基づき2003年5月に制定され、2005年4月に全面施行されました。 個人情報保護法と言っても、1つの法律ではなく、以下のように分野毎に分かれています。
対象 法令名
民間企業・団体 ・個人情報の保護に関する法律
国の機関 ・行政機関の保有する個人情報の保護に関する法律
・行政機関の保有する個人情報の保護に関する法律等の
施行に伴う関係法律の整備等に関する法律
・情報公開・個人情報保護審査会設置法
・独立行政法人等の保有する個人情報の保護に関する法律
都道府県
市区町村 各地方自治体が定める条例
個人 なし(ただし所属・資格によって関連法令が存在する)
※公務員は公務員法等関連法令や地方自治体が定める条例
※医師、弁護士等の国家資格者は関連法令(医師法、弁護士法 等)
※通信事業者所属であれば電気通信事業者法
等
表中箇条書き(・)の法律は「個人情報保護法関連5法」と呼ばれ、個人情報の取り扱い規定は分野別ですが「個人情報の保護に関する法律」の基本理念(1~3章)は全分野共通で、その中に「個人の人格尊重」に明記されています。
「個人の人格尊重」とは、個人の生命や財産だけでなく、個人に結びつく情報にも一定の保護が必要だという考え方です。具体的には、
個人情報を使って事業を推進している企業や団体に対して、個人情報を適正に取り扱うようにルールを定め、それを義務付ける法律です。
ただ、「保護法」と聞くと「…してはならない」という規制や制限ばかりイメージしてしまいますが、逆の発想で、ルールさえ守れば、個人情報を有益に利活用し、経済活動を活性化させることが出来る、という前向きな捉え方も出来るのです。
2.2 個人情報保護法が誕生した背景
個人情報保護法が誕生した背景には、個人情報の流通量が増加し、その取り扱いに何らかのルールが必要になってきたことをあげることができます。
現在の企業の重要な経営テーマの1つに「ワン・ツー・ワンマーケティング」というものがあります。わかりやすく言えば、従来のマス・マーケティングが「すべての顧客に同じサービス」を提供するものだったのに対し、ワン・ツー・ワンマーケティングは「個々の顧客にそれぞれのサービス」を提供しようという考え方です。その結果個人情報の流通量が増すことになります。
スマートフォンの普及に伴い、「クラウド」を利用したサービスが増えてきています。 現在の社会では、様々な情報(データ)がコンピューターやサーバに取り込まれ、それらをネットワーク経由で、いつでもどこでも利用出来る環境が整いつつあります。
コンピューターに取り込まれた情報(データ)には次のような特徴があります。
わずかな時間に大量にコピー出来る。
コピーしても全く劣化しない。
ネットワークを使えば一瞬で世界中に配布出来る。
匿名で配布出来る。
紙の情報とコンピューターの情報(データ)の伝わり方には量・スピードともに決定的な差があります。 個人情報もコンピューターに取り込まれ、ネットワークを使ってやり取りされます。誤って個人情報がネットワークを通して配布されたとしたらどうなるでしょう。その被害は大きなものとなります。したがって、個人情報の取り扱いには、個人情報保護法のようなルール・制限が必要となるのです。
2.3 個人情報保護法成立までの経緯
日本で「個人情報保護法(個人情報の保護に関する法律)」が全面施行されたのは2005年4月ですが、それ以前にも個人情報を保護するためのガイドラインや法律が存在しました。
国際的に見ると、1980年にOECD(Organization for Economic Cooperation and Development:経済協力開発機構)で「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」が制定されました。このガイドラインは世界初の個人情報保護に関するガイドライン(いわゆる「OECDプライバシー8原則」)といわれています。
こういった動きに応えるように、日本国内では、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。この法律は、公的機関を対象としたもので民間部門は適用外となっています。民間部門に対しては、1989年に通産省(現経済産業省)により「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が制定されました。
1995年にはEU(欧州連合)で「個人データ保護指令(個人データの処理に係る個人の保護及びその自由な流通に関する欧州議会及びEU理事会指令)」が制定されました。この指令には、個人情報保護にきちんと取り組んでいない国には個人情報を提供してはならないという内容が含まれています。そのため日本でも、個人情報保護に関する法整備が求められるようになりました。
こういった動きに応えるように、1997年には「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が改正されました。そして1999年にはこのガイドラインをベースにして「JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)」が制定されました。
その後、住基ネットとも関連して個人情報保護に関する法制化が進められ、2003年に「個人情報保護法(個人情報の保護に関する法律)」が制定され、2003年5月から一部施行され、2005年4月からは全面施行されました。
OECDガイドラインや欧米が「プライバシー保護」に重点を置いているのに対し、日本のガイドライン・法令は「個人情報の取り扱い」を中心としたものです。また、法体系が民間部門、行政機関、独立行政機関、各地方公共団体条例に分かれ、民間・公的部門共通の監督機関がないのも日本の特徴です。
2.4 個人情報保護法改正
2015年9月3日、個人情報保護法を改正する法律(個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律)が成立しました。
施行日は、「公布の日から起算して2年を超えない範囲内において政令で定める日」となっています。交付日が2015年9月9日なので、2017年9月までには施行されることになります。
改正のポイントは以下のとおりです。
個人情報の定義の
明確化 ・個人識別符号が含まれるものが新たに個人情報として類型化
・要配慮個人情報(機微情報)に関する規定の整備
適切な規律の下で個人情報等の有用性を確保 ・匿名加工情報に関する加工方法や取扱い等の規定の整備
・個人情報保護指針の作成や届出、公表等の規定の整備
個人情報の保護を強化
(名簿屋対策) ・トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務)
・不正な利益を図る目的による個人情報データベース提供罪の新設
個人情報保護委員会の
新設及びその権限 ・個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
個人情報の取扱いの
グローバル化 ・国境を越えた適用と外国執行当局への情報提供に関する規定の整備
・外国にある第三者への個人データの提供に関する規定の整備
その他改正事項 ・本人同意を得ない第三者提供の特例(オプトアウト規定)の届出、公表等厳格化
・利用目的の制限の緩和
・取扱う個人情報が5,000人以下の小規模取扱事業者への対応
個人情報保護法の改正により、あいまいだった個人情報の定義が明確化されます。また、誰の情報かわからないように加工された「匿名加工情報」について、企業の自由な利活用を認めることで経済の活性化が期待されます。
いわゆる「名簿屋」対策として個人情報の流通経路をたどることができるようにし、個人情報データベース提供罪を新設することで不正利用の抑止を行います。
なお、改正個人情報保護法はまだ施行開始前なので、以降のページでは現行法に即した解説を行います。
2.5 「個人情報」とは
あらためて考えてみると、どこからどこまでが「個人情報」なのでしょう?病歴や財産、クレジット番号など、あまり人に知られたくないことが「個人情報」だというのはわかりますが、「個人情報」と「個人情報でない情報」の線はどこで引かれるのでしょうか?
個人情報保護法では、「個人情報」を次の2つの条件を満たすものと定義しています。
1.生存する個人に関する情報
2.単独、または他の情報と照合することで個人を識別出来る情報
つまり、「情報の質(プライバシー性の強弱)」や流通範囲(公開や社内限定 等)を問わず「特定の個人を識別出来るかどうか」が問題であるいうことになります。
誤った考え方 病歴や財産など、いわゆる“プライバシー”的な情報が個人情報で、「名前」など”プライバシー”的でないものは個人情報ではないという考え方
正しい考え方 「名前」など“これはあの○○さんのことだ”と個人を識別出来る情報であれば個人情報であるという考え方
結論として、特定の個人に結びつくものはすべて「個人情報」である、ととらえるべきでしょう。「顧客の氏名だけを抽出したリストだから外部の人に渡してもいいだろう」という判断は完全な誤りです。「氏名」は個人情報の中心をなす情報です。
2.6 「個人情報」とは -具体例-
具体的にどのような情報が個人情報にあたるのでしょうか。まず、個人情報保護法の定義を確認しましょう。
個人情報保護法では、「個人情報」を次の2つの条件を満たすものと定義しています。
1.生存する個人に関する情報
2.単独、または他の情報と照合することで個人を識別出来る情報
つまり、「情報の質(プライバシー性の強弱)」を問わず「特定の個人を識別出来るかどうか」が問題であるということになります。次の表は、代表的な個人情報です。
氏名 住所 生年月日・年齢 性別 自宅電話番号
社員番号 勤務先 勤務先住所 勤務先電話番号 携帯電話番号
職業 メールアドレス 学歴情報 家族情報 病気・身体情報
資産情報 資格情報 保険情報 会員情報 信条・趣味情報
特定の個人に結びつくものはすべて個人情報と考えるべきなので、具体的に拾い上げるときりがありません。「生年月日」や「性別」は単独では個人を特定できないので個人情報ではありませんが、「氏名」という「他の情報」と結びつくと個人情報です。
それでは、他の情報と結びつける、とはどういうことでしょうか。
たとえば単独の「社員番号」は、一般の人が見ても、それが誰の社員番号なのかはわかりませんし、調べようとしても簡単にはいきません。ですから「社員番号」単独では個人情報とはいえないという考え方も出来ます。しかし、それがどの会社の社員番号かが容易に知ることが出来る状態で示されていれば、その会社の社員なら「○○さんのことだ」と調べられます。
他の情報と結びつけるのは誰だ、という判断は難しい問題です。個人情報保護法にも、明確な基準は示されていません。しかし、他の情報と結びつけられる人が少数であったとしても、その少数の人から不特定多数に個人情報が伝わる可能性もあるので、より厳しい判断をするべきでしょう。
以上の点を踏まえると、「社員番号」は個人情報と考えるべきだと言えます。
上で紹介した例に加えて、経済産業省の個人情報保護法のガイドラインでは個人の映像や音声などのデータも個人情報とみなしています。
2.7 「個人情報」とは -微妙な判断-
個人情報なのかそうでないのか、微妙な情報があります。ここでは、それらの情報について見ていきます。
まずは、「名刺」が個人情報かどうか考えてみましょう。結論からいうと「名刺」は個人情報です。「名刺」には「氏名」「役職」「勤務先」「勤務先住所」「勤務先電話番号」「メールアドレス」などたくさんの個人情報が掲載されています。しかし、なんとなく名刺は個人情報ではないような気がするのは、あなたが要求してもらったものではなく、相手がすすんで提供してくれたものだからでしょう。求めたものでもないのに、個人情報として責任をもって管理しなければならないのはおかしい、という思いがあるからです。
しかし、あなたは受け取ったのです。明文化されているわけではありませんが、相手は、自分が所属するA社の利益につながる範囲であれば自由に使って欲しい、という思いであなたに名刺を渡し、あなたは、自分が所属するB社の利益にこの名刺の情報が役に立つかもしれない、という思いで受け取ったとみなすことが出来ます。
そのため名刺の受け取りにも、後で説明する「利用目的」が存在すると考えるべきです。ですから、「利用目的」に反した利用、たとえば、生命保険の会社に勤める友人CからA社の知り合いを紹介して欲しいと頼まれて、もらった名刺を友人Cにあげたとすれば違法行為となる可能性があります。また、「ハガキ」や「封書」もこれらに類するものと考えるべきでしょう。
次に、個人情報保護法施行前に入手した個人情報は個人情報でしょうか。これも結論からいうと個人情報です。個人情報として適切な管理をすることはもちろんですが、後で説明する「利用目的の提示」など、さかのぼってやり直さなければならないことまで義務付けられます。
それでは、故人の情報は個人情報でしょうか。個人情報保護法では、故人の情報は個人情報の対象になっていません。ただし、各自治体の条例では取り扱いが異なることもあります。また、遺族や子孫に結びつく情報であれば個人情報になりますので慎重な判断が必要です。
最後に法人の情報は個人情報でしょうか。法人に関する情報は個人情報ではありません。契約書や注文書などに法人名しか記入されていなければ個人情報ではありませんが、そこに代表名などの個人名が記載されていれば個人情報にあたるので注意しましょう。
この他にも、個人情報かどうか判断に迷う微妙なケースがあります。迷ったときは、個人情報保護法での定義を思い出し慎重に判断してください。
2.8 「利用目的」とは
個人情報保護法は個人情報を取り扱ってはならないと言っているのではなく、適切に取り扱うことを義務付けているだけです。この「適切」であるかどうかの判断の根幹をなすのが、個人情報の「利用目的」です。
定義をわかりやすくまとめると、次のように解釈出来ます。この定義は個人情報保護活動のすべての判断の根幹をなす重要なものです。
1.個人情報を入手する場合は利用目的を特定すること
2.その利用目的は必要最小限にすること
3.本人に対して利用目的を通知、公表すること
4.通知または公表した範囲内に限定して個人情報を利用すること
誤った考え方 顧客は会員になることでメリットを得ているのだから、会員登録カードにどのような記入項目があろうと、記入された内容をどのように使おうと、それは企業の勝手だ。
正しい考え方 顧客は会員になることを目的に個人情報を提供しているのだから、会員システムを運営していく上で不可欠な記入項目のみに限定し、個人情報の利用も会員システムの運営に限定する。
まず「利用目的」をお知らせすることが必要です。 特に、申込用紙やウェブでの入力等、本人から直接入手する場合は、記入・入力前にお知らせすることが重要です。 同意を得た利用目的外の利用は禁じられています。入手した個人情報は自分のものと考えてはいけません。
個人情報保護法では例外的な扱いとして、利用目的の提示が必要ない場合を4つ示しています。
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
事業者の権利・正当な利益を害するおそれがある場合
法令に基づき国の機関・地方公共団体が行う業務への協力に支障を及ぼすおそれがある場合
入手状況からみて利用目的が明らかであると認められる場合
この例外の中で、特に知っておいた方がよいのが4項の規定です。
入手状況から見て利用目的が明らかであると認められる場合は利用目的の提示は必要ありません。つまり、会員登録の申込カードならば、会員として登録し会員サービスを運営していくこと、という利用目的が明らかですから、明示的に利用目的を通知しなくてもよいということです。
もちろん、会員サービスを運営していくためにどんな情報が必要なのかの判断は、本人が納得出来る範囲でなければならないことはいうまでもありません。「氏名」「住所」「電話番号」はよいが、「年収」は納得できないと考える顧客が多いだろうと判断した場合は、「年収」を削除するか、「年収」が必要な理由がわかるように利用目的を明示する必要があるでしょう。いずれにしても要不要の判断は個人によって異なるので、後からクレームが出ないように利用目的を提示する方が安全です。
2.9 「利用目的」とは -具体例-
具体的に、「利用目的」をどのように考えればよいのでしょう。まず、定義をもう一度確認しましょう。
1.個人情報を入手する場合は利用目的を特定すること
2.その利用目的は必要最小限にすること
3.本人に対して利用目的を通知、公表すること
4.通知または公表した範囲内に限定して個人情報を利用すること
A君が企画した「クラウド無料体験セミナー」で受講アンケートをとることになったと想定して、考えてみましょう。A君の本音は、売上拡大のために、購入の見込みのある顧客を選別したい、というものです。そこで、次のアンケート項目を考えました。
氏名 住所 年齢
職業 自宅電話番号 メールアドレス
セミナーの満足度 セミナーの改善点 次回セミナーへの要望
パソコン所有の有無 パソコンの購入時期 インターネット利用の有無
このアンケートの情報は「氏名」「住所」「自宅電話番号」「メールアドレス」も含まれますから個人情報にあたります。このアンケートの利用目的を、次回セミナーの改善とご案内のためだとすれば、「パソコン所有の有無」などは目的を超える項目になり、「職業」も無関係です。
アンケート項目から「職業」「パソコン所有の有無」「パソコンの購入時期」「インターネット利用の有無」をはずし、用紙に「このアンケートは、次回セミナーの改善と、ご案内を目的として取得いたします。同意していただける方のみご記入ください。」のように明記して入手しなければなりません。そして、もちろん実際にこの目的に限定した活用しか許されません。
よって社内でいろいろな顧客データベースを統合する際は、 目的外利用とならないよう、それぞれの利用目的も併せて管理する必要が出てきます。
2.10 「利用目的」とは -微妙な判断-
個人情報の「利用目的」の通知が必要かどうかの判断が難しい場合があります。ここでは、判断を迷うような微妙な例をいくつか見ていきましょう。
まずは、個人情報保護法施行前に入手した個人情報です。これらの個人情報は、「利用目的」の通知や公表は必要なのでしょうか。
基本的に、施行前に入手した個人情報でも、利用目的の通知や公表は必要です。ただし施行前の個人情報を入手した時点で、利用目的に対する同意をとっていたり、通知をしたりしている場合は、個人情報保護法の規定に従って処理したものとみなされます。また、入手状況からして利用目的が明らかな場合も、あらためて通知したり公表したりしなくても問題ないでしょう。
しかし上記のいずれでもない場合は、速やかに本人に通知、または公表しなければなりません。具体的な方法については規定されていませんが、可能な限り郵送などの個別通知がよいでしょう。それが困難な場合は、少なくとも新聞広告やWebサイトでの公表が必要でしょう。また、それを見た本人から納得できないので削除してほしいとの要求があった場合は、速やかに対応しなければなりません。
基本的にはどのような個人情報であっても、「利用目的」を通知または公表しなければならないことは、お分かりいただけたと思います。それでは、「利用目的」はどのレベルまで細かく通知する必要があるのでしょうか。
個人情報保護法では「その利用目的を出来る限り特定しなければならない」と表現しているだけで、具体的な基準は示されていません。しかし「個人の人格尊重」の理念に基づけば、「本人が自分の不利益になるかならないかが判断出来るレベル」と考えるべきでしょう。
利用目的が「顧客サービスの向上のため」では、あまりにも曖昧で、自分の不利益につながるかどうか判断できません。「新商品やイベントなどのご案内をするため」であれば、提供すべき個人情報の種類も判断でき、自分の不利益になるかどうかの判断も出来るレベルにあると言えます。
最後に、個人情報を入手した後、当初の利用目的以外でその情報を利用したい場合を考えてみましょう。
通知・公表した利用目的を変更する場合は、まず本人がその変更を知る必要があります。 無断の目的外利用を防ぐために個人情報保護法でも通知・公表では不十分と考えられ、本人からの事前同意が必要となっています。
2.11 「個人データの管理」とは
個人情報保護法では、個人情報取扱事業者に対して個人データを安全・正確に管理することを義務付けています。これは個人情報を適切に入手・利用するだけでなく、その保管・管理もきちんとしたものでなければならないというものです。
個人データの管理をわかりやすく言い換えると、次のような5つの項目にまとめることが出来ます。これらは個人情報保護活動のすべての判断の根幹をなすものです。
- 個人データを外部に流出させてはならない
- 個人データを誤って紛失・消去してはならない
- 個人データを誤って書き換えてはならない
- 本人から訂正要求があったら対応する
- 1~4、またはそれに類する事故が発生しないように対策を講じなければならない
誤った考え方 個人データを外部に流出させてはならないことはわかるが、誤って消去したり、変更したりしてしまっても、社外の人に迷惑をかけるわけではないから問題ない
正しい考え方 個人データを外部に流出させてはならないことは当然の責任だが、誤って消去したり、変更したりしないように注意し、もしそのような事態になっても復旧出来るようにバックアップをとっておく
ここでいう「個人データ」とはどういったものでしょうか。個人情報を集めて見やすく五十音順に並べたり、パソコンに入力して情報を整形したりするなど、データベース化したものを個人情報データベースと言います。個人データとは、その個人情報データベースを構成するデータのことです。個人データは個人情報そのものと考えてかまいません。
ここで、個人情報保護法において個人データの流出・紛失・消去・書き換えの防止が義務付けられている理由を考えてみましょう。個人データを誤って消去したり、変更したりしたとき、直接困るのは当の個人情報取扱事業者です。ですから、法律でそこまで義務付けるのはおかしいと考えるかもしれません。しかし、誤った消去や変更をしてしまうと次のような事態になる可能性があります。
本人に対して、再度、個人情報の提供をお願いしなければならなくなる
管理が不十分な場合、意図的に破棄したのか過失により紛失したのかどうかの区別がつかなくなる
個人情報保護法で義務付けられている「本人からの個人情報の開示や訂正等」の要求に応えられなくなる
(これは「個人情報を正確に管理する」ということで、ISMSでの「完全性(CIAのI)」にも関係します)
個人データを安全・正確に管理しないと、個人情報を入手した者としての責任が果たせなくなってしまうのです。個人情報保護というと、「個人情報を名簿業者などに売らないこと」だと、表面的なとらえ方をしている人もいるかもしれません。しかし、それほど安易なものではありません。 また、万が一個人情報を流出・紛失・削除してしまったら、プレス等で社外に公表し監督省庁へ報告する必要があります。
つまり、個人情報を預かっている者としての責任と自覚を持って、あらゆることを想定した具体的な取り組みが必要なのです。
2.12 マイナンバー
全国民に個人番号(以下、「マイナンバー」)を付番し、個人を一意に特定することを可能とする「行政手続における特定の個人を識別するための番号の利用等に関する法律(以下、「マイナンバー法」)が、2013年5月24日に成立しました。
マイナンバーは、住民票を有する全ての人に1人1つずつの番号を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関に存在する個人の情報が同一人のものであることを確認するために活用されるものです。
マイナンバーにより、以下のような効果が期待されています。
公平・公正な
社会の実現 所得や他の行政サービスの受給状況を把握しやすくなるため、負担を不当に免れることや給付を不正に受けることを防止するとともに、本当に困っている方にきめ細かな支援を行えるようになります。
国民の利便性の向上 添付書類の削減など、行政手続が簡素化され、国民の負担が軽減されます。また、行政機関が持っている自分の情報を確認したり、行政機関から様々なサービスのお知らせを受け取ったりできるようになります。
行政の効率化 行政機関や地方公共団体などで、様々な情報の照合、転記、入力などに要している時間や労力が大幅に削減されます。複数の業務の間での連携が進み、作業の重複などの無駄が削減されるようになります。
マイナンバーは、行政を効率化し、国民の利便性を高め、公平かつ公正な社会を実現する社会基盤となります。
マイナンバー法は2015年9月3日に改正され、2018年以降、金融機関や医療の分野でも利用が始まるなど、今後は利用範囲の拡大が見込まれています。
2.13 特定個人情報
マイナンバーを含む情報を特定個人情報と言います。
特定個人情報は、個人情報でもあるため、個人情報保護法の対象となります。さらに番号法の対象にもなるため、その利用等に関しては、個人情報以上に厳しい制限や制約が設けられています。
この章では、実際に個人情報を取り扱う際の、具体的なポイントや手順を学びます。個人情報を取り扱う局面を「入手」「活用」「管理」という3つにわけて整理します。
ここで学ぶことは、日常業務での個人情報に関するトラブルの発生を未然に防ぐために、すぐに役立つものばかりです。個人情報を扱う業務をしている人は、あなたの担当業務と結びつけながらしっかりと学びましょう。それ以外の人は、個人情報がどう取り扱われているのか流れを理解する参考にしてください。
3.1 入手のパターン
通常、個人情報を入手するパターンは、「直接本人から入手する場合」と「本人以外から(間接的に)入手する場合」に大別出来ます。どの方法で入手しても、個人情報を保有する結果となり管理責任は発生します。
(1)直接本人から入手する場合
あなたの会社が主体となって本人から直接個人情報を入手することです。
(例)会員申込、展示会アンケート、インターネットショッピングの申込など 。
(2)本人以外から(間接的に)入手する場合
個人情報を本人以外から入手するケースとしては、他社から個人情報の取扱いを含む業務を委託されるケース、Webサイトなどに公開されている個人情報を入手するケースなどが該当します。
(例)会員管理の処理を含むサービスの運用を委託される場合
個人情報の入手は、「直接本人から入手する場合」だけをイメージしがちですが、委託により預かっている個人情報もあります。委託により預かった個人情報を漏えいさせると、本人だけでなく委託元の企業にも大きな迷惑がかかることになります。より、慎重に取り扱いましょう。
3.2 直接入手の手順
ここでは、個人情報を直接入手する場合の手順や注意点を確認します。きちんと理解して実践しましょう。
(1)個人情報を入手する必要があるのか見極める
個人情報の定義を思い出してください。生存する個人に関する情報で個人を識別できたり、他の情報と照合することで個人を識別できたりすれば、それは個人情報です。 まず、これからあなたが集めようとしている情報が、本当に個人情報でなければならないのかを見極めなければなりません。
たとえば、ポイントカードなどの会員登録や懸賞つきのアンケートであれば、名前や住所が必要なので個人情報である必要があります。 しかし、ニーズ調査やセミナーのアンケートはどうでしょう。単に意見を知ることだけが目的であれば、それが名前付きである必要があるかどうか検討が必要です。性別や年代だけでは個人は特定できませんので、個人情報になりません。
入手した情報が個人情報であれば様々な義務が発生します。個人情報を入手する際は、次のことを意識しましょう。
必要な情報が個人を特定しなくていい場合は、個人情報を集めない
(2)利用目的を特定し、明文化する
入手したい情報が個人情報でなければならない場合、次にやることは利用目的を特定することです。 利用目的を検討する場合の注意点は次のとおりです。
・個人情報は利用目的の範囲内でしか利用できない。
・利用目的に照らし合わせて、個人情報は必要最低限の項目しか入手できない。
・利用目的は、本人に対して利用目的を通知または公表しなければならない。
・入手後、利用目的を変更することは容易なことではない。
また、どれくらい詳細に提示するかという問題も検討しなければなりません。本人が自分の不利益になるかならないかが判断出来るレベルであることが、ひとつの目安になるでしょう。 個人情報保護法はあくまで個人情報本人の人格を尊重する法律ですから、事業者主体の視点ではなく、自分が情報提供者だったらどう感じるか、という個人の視点が必要とされます。
(3)本人に明示する方法を検討し準備する
本人が直接記入・入力する場合は公表では不十分で、利用目的を本人に明示することが必要です。
明文化された利用目的に対して、情報提供者本人に明示する方法を検討します。
最も確実で手間も少なくて済むのは次の方法です。
個人情報の入力媒体の先頭に、利用目的を明記し、同意していただける方のみ入力してくださいという趣旨の断りを提示する
同意を得たことの確証を得たい場合は、「同意する/同意しない」のチェック欄を設けるという方法もあります。いずれにしても、はっきりわかりやすく提示しなければなりません。Webページの一番下に小さな文字で提示したり、会員登録カードの裏面にこっそり提示したりといった不誠実な提示は、本人からクレームが出た場合、問題になる可能性があります。
メンバーズカードへの入会票などのように目的が明らかで必要最小限の項目しか採取しない場合は、利用目的を明示しなくてもよいとされていますが、後々のトラブルを防ぐためにも明記しておく方が安心です。
3.3 個人情報の活用
個人情報を活用する際の基本的な考え方は、次の1点に集約されます。
利用目的の範囲内で活用する
もし、あらかじめ設定した利用目的を超える利用が必要になった場合は、あらためて利用目的を定義し直し、本人に通知(郵送など)して、同意を得なければなりません。また、新しい目的に対して本人からの使用拒否の通達があれば、速やかにそれに応じなければなりません。
個人情報は、あらかじめ設定した利用目的の範囲内でしか活用できません。 目的を変更した場合は、そのことを本人に連絡し、同意を得なければなりません。
3.4 部門内での活用
個人情報を入手した部門内での活用のポイントは次の2つです。
(1)部員に対する利用目的の周知・徹底
個人情報を活用する部員全員が、以下の内容をきちんと理解していることが前提となります。
- 個人情報を利用目的の範囲を超えて活用することの違法性
- 実際に活用する個人情報の利用目的
たとえば、個人情報保護法施行前に入手したポイントカードのメンバー登録情報があったとします。メンバー登録時には、その個人情報の利用目的は明示していませんでした。この場合、利用目的を明示しなくても、「ポイントカードのメンバー登録」なので「ポイントカードの運営のため」という利用目的は明らかですから、あらためて利用目的を通知したり公表したりしなくても違法とは言えません。
しかし、このメンバー登録情報を使って新商品のDMを送付したとしたらどうでしょう。入手時に利用目的を明示していない以上、「新商品のDMを送付するため」という利用目的について、本人が同意したとみなすことは難しいでしょう。この場合、あらためて「新商品のDMを送付するため」という主旨を追加した形で利用目的を作成し、DMを発送する前に本人に通知、またはWebサイトなどで公表し、同意を取るという手続きを踏まなければなりません。
(2)個人情報取り扱いの部門責任者を任命し監督、判断してもらう
個人情報の活用に関して、部員全員に周知・徹底し違法行為をさせないことが理想ですが、限界があるのも事実でしょう。個人情報保護へのきちんとした知識と高いモラルを持った人を部門の個人情報取扱責任者に任命し、日常業務の監督と最終的な判断という役割を担ってもらうことにより、より確実な活用体制が実現します。
手元にある個人情報は、「自分達のものだからどう使ってもいい」と思いがちです。責任者を決めてチェックしてもらいましょう。
3.5 社内他部門への提供
ある部門が入手した個人情報を社内の他部門や他社に提供する際には、次の点に注意しましょう。
個人情報保護法は、ある部門が入手した個人情報を社内の他部門に提供すること自体は禁じていません。問題は、他部門に提供することにより、目的外利用となるリスクがあることです。
たとえば、人事部が社員採用のために入手した入社希望者の情報を営業部に提供し、営業部がイベントのDMを発送することは違法行為にあたります。
「社内だから」と気軽に個人情報を貸し出してしまうことのないように注意しましょう。
社内・部門内での目的外利用を防ぐ上で、利用目的を明記した管理台帳を整備するのも有効な手段です。
3.6 他者への提供
個人情報保護法は、個人情報を他者(第三者)に提供することを厳しく制限しています。 第三者とは、自社以外の法人や団体、個人のことであり、関連会社やグループ会社も第三者に当たります。
個人情報を第三者に提供しなければならないときは、次に示す手続きが必要です。
方法1 あらかじめ本人の同意を得ておく(オプトイン)
人の生命や財産保護のためにやむを得ない場合など特別なケースを除いて、個人情報を第三者に提供することが予想出来る場合には、利用目的と同様に、第三者に提供する旨を明示し本人の同意をとっておかなければなりません。これを「オプトイン」といいます。基本的にはこちらの方法を採用しましょう。
方法2 あらかじめ本人に通知(公表)し、制限出来るようにする(オプトアウト)
事前に同意を得ていなくても、後から本人の意思で利用制限可能な状態に出来ます。これを「オプトアウト」といいます。これは、入手時点で本人の同意をとっていなくても、以上のような対応をとれば、個人情報を第三者に提供してもよいという、救済措置的な意味合いを持っています(個人情報保護法施行以前から提供している場合も含む)。
ただし、オプトアウトのためには、「本人に容易に知りうる方法」で公表することが必要です。 例えば、会社のトップページに「個人情報の取り扱いについて」のリンクを設け、 本人が容易に辿れ、どのような個人情報をどんな利用目的で何処へ提供しているか説明すると共に、 手続が理解、実行できるような配慮が必要です。
第三者への提供に何の制限もなければ、流出するのと同じことです。
3.7 本人からの要求・苦情への対処
個人情報保護法では、本人から自分の個人情報の開示等の要求があった場合、個人情報取扱事業者は遅滞なく対処しなければならないと義務付けています。また、自分の個人情報が事実でないという理由でその個人情報の訂正や削除が求められた場合、個人情報取扱事業者は調査をし、その結果によって訂正しなければならないと義務付けています。
(1)開示の要求への対処
本人から自分の個人情報の開示要求があった場合、その要求に応じなくてもよいのは次に示す特別な場合だけです。
・本人や第三者の生命、身体、財産が害されるおそれがある場合
・その企業の業務の遂行に著しい支障が出るおそれがある場合
・他の法令に違反することとなる場合
これらの特別な事情であっても、開示しない理由を遅滞なく本人に通知しなければなりません。 このような要求があった場合、誰が窓口となり、対応するか前もって決めておくべきでしょう。
(2)本人確認の方法や手数料など
個人情報の開示や訂正、利用停止の要求を受け付ける際に重要なのは、要求しているのが本人なのかという確認です。個人情報保護法では、本人に過重な負担を課するものでなければ、事業者は受け付けの方法を定めることができ、本人はその方法に従って求めを行わなければならないとしています。また、実費に基づいた合理的な範囲であれば、手数料を徴収することを認めています。これらのことを踏まえて、対処ルールを策定しておいた方がよいでしょう
(3)苦情受付の体制
個人情報の取り扱いに関する苦情受付けの体制を整えて迅速に対処するという点は、義務ではなく努力目標という扱いになっています。しかし、義務である開示などの要求への対応であっても、努力目標である苦情への対応であっても、組織として体制を組んで、窓口を一本化し、きちんとした判断と対処が出来る人を割り当てておく必要があるでしょう。
3.8 個人データの管理
まず、「個人データの管理」の義務について思い出してください。個人情報保護法が個人情報取扱事業者に対して義務付けている「個人データの管理」は次のとおりです。
- 個人データを外部に流出させてはならない
- 個人データを誤って紛失・消去してはならない
- 個人データを誤って書き換えてはならない
- 本人から訂正要求があったら対応する
- 1~4、またはそれに類する事故が発生しないように対策を講じなければならない
個人データの管理は、みなさんにとって最も身近で日常的なテーマであると同時に、漏えいという最も大きなリスクをともなう局面でもあります。しっかり、ポイントをおさえて「知らなかった…」「つい、うっかり…」をなくすようにしましょう。
社内で個人情報を適切に扱うためには、ISMSのようにマネジメントシステムを構築してリスク低減策を行い、PDCAを回すことが有効なのは言うまでもありません。