個人情報保護の考え方について

個人情報=プライバシーに係る情報ではございません

個人情報を保護することは、プライバシーに係る情報の保護にもつながりますが、プライバシーに係る情報は、別のものです。
個人情報は、特定の個人を識別できる情報とされており、その情報の性質や内容などについては特に、触れていません。
一方、プライバシーに係る情報とは、個人の私生活上の事実に関する情報及び一般には知られていない情報で、本人が公開を欲しない情報と考えられます。
ともに、個人に関する情報という点では同じですが、この法律では、個人情報は個人を識別できるものであるかどうかだけを定義していて、その性質や内容、主観的なものは定義していません。
そのため、個人情報=プライバシーに係る情報ではない。と考えられます。

個人情報に関する業務を委託するときの注意点

委託先の漏洩も委託側の責任です。きちんと管理することが必要です。

個人情報の取り扱いを全部または一部を委託する場合は委託側が必要かつ適正に管理しなければならない
(法22条)

委託先から情報が漏洩したという報道をよく耳にしますが、この責任も委託側にあるということになります。さらに受託先が再委託をした際に、再委託先が適切とはいえない取り扱いをし、問題が生じた場合も、一番元となる委託者の責任です。

<委託の際は、以下の事項に注意を図る必要が有ります。>
◯適正な委託先を選定する

◯委託契約書に個人情報に関する事項を盛り込む

◯委託者及び受託者の責任の明確化

◯個人データの安全管理に関する事項

◯個人データの漏洩防止、盗用禁止に関する事項

◯委託契約範囲外の加工、利用の禁止

◯委託契約範囲外の複写、複製の禁止

◯委託処理期間

◯委託処理終了後の個人データの返還・消去・廃棄に関する事項

◯再委託に関する事項

◯再委託を行うにあたっての委託者への文書による報告
個人データの取扱状況に関する委託者への報告の内容及び頻度

◯契約や内容が遵守されていることの確認

◯契約や内容が遵守されなかった場合の措置

セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

委託する情報・業務内容に応じて自分たちでしっかりとした選定基準を策定し、委託先を選定することが重要です。また、公的に情報セキュリティレベルを保障する認証もあるので一つの目安になります。

また、契約をしただけで、放置するのではなく、定期的に委託先の状況を管理するとともに、お互いに管理レベルを維持、若しくは向上していく工夫をするために日頃からコミュニケーションをとっておくことも重要です。

個人情報が漏洩してしまった場合は被害の拡大を防止しましょう。

あらかじめ、危機管理計画を策定しておく

漏洩防止に努めることは重要ですが、100%のセキュリティは存在しません。
漏洩もあり得るということを前提に、危機管理計画書を策定しておくことをお勧めします。

この計画に従い、落ち着いて事実を正確に把握しましょう。単なる誹謗・中傷の可能性もあります。事実であれば、更なる被害を食い止めなければ、2次被害、3次被害が発生する危険性が高くなりますので、早急に対策を実施します。

<個人情報の被害拡大を食い止める>
◯応急処置
自社サイトからの漏洩であれば、インターネットから切断する

自社LANのサーバーから漏洩したのであれば、サーバーをダウンしアクセスできない状況をつくる

日頃から履歴の管理を徹底していれば、漏洩箇所を早く確実に特定することができます。この履歴の管理は漏洩時に効力を発揮するだけでなく、平時の際には証拠が全て残るため、漏洩の抑止にもつながります。

<漏洩時の公表と再発防止策>
◯漏洩の事実を速やかに公表する

◯被害者へ謝罪とともに事実・原因を連絡する

◯ホームページに謝罪と経緯を公表する

◯苦情窓口の電話番号、メールアドレス、開設時間帯も公表する

◯主務官庁へ報告する

◯また、被害者より民事責任を問われる可能性もありますので、必要に応じ、弁護士・危機管理会社に相談し、対策を練る必要があります。

ページトップへ戻る