助成金・補助金等、経営力UPの経営情報が満載!
はじめての方 無料経営診断 会員登録ログイン

専門家コラム

専門家コラム
会員登録すると、
新規会員登録はこちら
お気に入りに追加 シェアツイートLINEはてぶ

企業の責任! いまさら聞けない「個人情報保護ってどうすればいいの?」

全事業者が対象となっている「個人情報保護法」。中小企業の場合は、なかなか意識できていないのではないでしょうか。しかし、個人情報の漏洩は企業責任を問われ、企業の存続に関わる大きなリスクです。個人情報保護の基本とすぐにできる対策をお伝えします。

(掲載日 2021/03/29)

企業の責任!いまさら聞けない「個人情報保護ってどうすればいいの?」

●個人情報は攻撃されなくても流出する


 「サイバー攻撃にあって個人情報が流出した」、「パソコンがウィルスに感染して個人情報が流出した」というようなニュースを耳にしたことありますね。

「わが社は、外部から狙われるような大きな会社ではないし、パソコンにはウィルス対策ソフトを入れているから大丈夫!」
と、人ごとだと思っていませんか?

 個人情報の漏洩原因を見てみましょう。原因別事故報告で最も多いのは「誤送付」で、2019年度では59.5%です。

出典:「個人情報管理の重要性」(一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター2020年12月23日) https://privacymark.jp/system/reference/pdf/tools_pms_2020_main.pdf



 さらに、「誤送付」の内訳で最も多いものが「メール誤送信」(23.2%)です。続いて「宛名間違い等」(15.7%)、「封入ミス」(12.9%)となっています。

出典:「個人情報管理の重要性」(一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター2020年12月23日) https://privacymark.jp/system/reference/pdf/tools_pms_2020_main.pdf


 メールの誤送信については、身に覚えがないでしょうか?「メールの添付資料、間違えちゃった。ゴメン、ゴメン」で済めばいいですが、もし、メールに顧客名簿を添付し送る先を間違えたとしたらどうでしょう。長年かけて構築された顧客との信頼関係は一瞬で崩れ去ります。
 
 個人情報の漏洩の原因は、悪意ある外部からの不正アクセスやウィルス感染など外敵による漏洩よりも、社内における人為的ミスによる漏洩の方が多いのです。身の回りの身近なところに漏洩のリスクが潜んでいます。



●そもそも個人情報とは?


 個人情報は、個人情報保護法で保護されています。この法律は、個人情報を取り扱うすべての事業者に適用されます。会社法人に限らず、マンションの管理組合、NPO法人、自治会や同窓会なども対象になります。

 さてそれでは、そもそも個人情報とは、どのような情報のことなのでしょう。

 個人情報とは、生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるものをいいます。
 個人情報には、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含みます。

出典:「個人情報保護法ハンドブック」(個人情報保護委員会) https://www.ppc.go.jp/files/pdf/kojinjouhou_handbook.pdf

 自分の身の回りの個人情報を思い浮かべてみましょう。マイナンバー、クレジットカード、パスポートなど。顔の映っている写真も個人情報になります。どれも、自分が知らない間に、見知らぬ人に情報として渡されていたらイヤですね。最悪、事件に発展する場合もあります。

 それでは、会社ではどのような個人情報を扱っているでしょうか。名刺、履歴書、社員の健康診断結果、顧客台帳、マイナンバー、メールアドレスなど。お客様から取得した個人情報だけでなく、社員が会社に渡している個人情報もあります。特に、マイナンバーは「特定個人情報」と呼ばれ、利用範囲が「行政機関や健康保険組合等に提出する手続き書類への記載の利用」に限定されています(番号法 第9条、第30条第3項/個人情報保護法 第16条)。たとえば、源泉徴収票や社会保障などの手続き書類に従業員のマイナンバーを記載し行政機関や健康保険組合に提出する場合などです。

 文字ではないですが、以下も個人情報であり、「個人識別符号」と呼びます。

 DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、掌紋

参考:「個人情報保護法ハンドブック」(個人情報保護委員会) https://www.ppc.go.jp/files/pdf/kojinjouhou_handbook.pdf


 また、以下は「要配慮個人情報」と呼びます。不当な差別、偏見その他の不利益が生じないように取り扱いに配慮を要する情報になります。

 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪などにより害を被った事実、身体障害等の障害があること等

参考:中小企業向け「これだけは!」10のチェックリスト付 はじめての個人情報保護法~シンプルレッスン~ 平成29年6月 https://www.ppc.go.jp/files/pdf/1711_simple_lesson.pdf


●個人情報保護のために、企業が守ること


 以下の5つの基本ルールがあります。貴社で、以下のルールが守られ、適切に取り扱われているか確認しましょう。

参考:「すべての事業者に個人情報保護法が適用されています」個人情報保護委員会 https://www.ppc.go.jp/files/pdf/5check_list.pdf

●漏洩しないようにするために


 例えば、先述のメールの誤送信は、メールに個人情報を含むファイルを添付する際には、ファイルを圧縮しパスワードを付ければ、万が一、誤送信したとしても安心です。当然、パスワードは別メールで送信します。また、メールアドレスはアドレス帳機能に登録し日本語で名称を明記しておけば、アルファベットの羅列だけのメールアドレスよりは、間違えにくくなります。

 個人情報を漏洩させないためのポイントは次のとおりですので、参考にしてみてください。


①管理すべき個人情報とリスクを把握する
 まずは、自社の管理すべき個人情報はどれが対象になるのか認識し把握します。
 そして、どんな時に漏洩する可能性があるか考えます(リスクの把握)。

②リスクへの対策を実施する
 そのリスクを防ぐ方法を考え、実施します。
 実施は、従業員のみではなく、社長、取締役、派遣社員、パート、アルバイトも含め、会社全体で取り組みます。

③ルールをつくる
 誰にでも分かりやすくするために、ルールを作ります。
 例えば、「メールに添付する個人情報を含むファイルは必ず圧縮してパスワードを付ける」「顧客名簿は、施錠可能なロッカーに保管する」などです。

④社内教育を行う
 個人情報の利用目的やルールを浸透させるために、社内で教育をします。
 教育は似たような内容でも構わないので定期的に繰り返すと浸透できます。
 個人情報保護委員会のホームページには、「個人情報保護法ハンドブック」など分かりやすく説明されたガイドブックやチェックリストなどが用意されていますので、会社としての対応方法を確認したり、社員教育に活用するといいでしょう。


 個人情報の漏洩リスクは、経営リスクです。個人情報保護を徹底しましょう。


著者プロフィール

福田 まゆみ(一般社団法人 東京都中小企業診断士協会 中央支部)

IT活用による業務改善、補助金等申請支援、販売促進支援、セミナー講師など

< 専門家コラムTOP

pagetop