個人情報の漏洩や安全管理について
個人情報に関する法律では、事業者は個人データの安全管理のために必要な措置を講ずることになっています。
必要かつ適切な措置
事業者によって、必要かつ適切な措置というのは異なりますが、組織的、人的、物理的、技術的な要素について安全管理措置がとられている必要があります。
安全管理のためには、どの部門で、どのような個人データを、何のために、どのような方法で取り扱っているかを把握し、問題点、改善点などを情報の取得、入力、利用、保存、提供、廃棄といった一連の流れに沿って検証することが必要です。
さらに、何が必要で適切な措置なのかは、取り扱う個人データの内容や量、データの媒体、取扱いの態様や関与する人の多寡によって異なりますので、リスクに応じて必要かつ適切な措置をとらなければなりません。
消費者信用産業における安全管理措置
消費者信用産業における、事業者が取り扱う個人データの件数は、一般的にも大量です。
また、データの内容も、氏名や住所などの基礎的な属性データだけではなく、契約情報や取引履歴、支払能力、延滞に関する事実など幅広く、また一般に公開されない情報も多く含まれています。
さらに、これらは、コンピュータによるデジタルデータとして保有されることが通常ですので、消費者信用産業における事業者の場合には、特に高度な安全管理措置が求められるのです。
金融庁事務ガイドラインには、物理的安全管理措置についての具体的な規定は、他の要素に含まれているためありません。
しかしながら、経産省信用分野ガイドラインでは、安全管理措置は、組織的、人的、技術的、物理的な各要素についてとられていなければならないとされています。
組織的安全管理措置
組織的安全管理措置では、まず安全管理に対応した責任者の設置や組織体制の整備、安全管理措置を内容とする規程等の整備、これに従った運用、これらの実施状況等の確認検証とその結果にもとづいた改善などが求められることになります。
もし、事故がおきてしまった場合には、再発防止のための原因究明と対策を講じます。
そして、二次的被害の防止などのために、その事故に関する個人データの本人への通知と説明を行い、事故の発生と内容について公表します。
人的安全管理措置
人的安全管理措置については、次のようなことが必要です。
■従業員等に研修などを行なうこと
■個人データの取扱いに関する契約の締結などによって目的外利用や開示の禁止を義務づけること
■違反には、懲戒等の処分を行うこと
物理的・技術的安全管理措置
物理的・技術的安全管理措置については、物理的に個人データを保護することや、技術的に必要な措置を講じるために、次のようなことが必要です。
■データルームへの入退室管理や媒体の施錠管理など
■システムのアクセスの制御
■不正ソフトウェア対策
■システムの監視と記録など
従業員や委託先の監督
■従業員の監督
・・・安全管理措置に関する規程等の遵守状況について、随時モニタリングを行う。
■委託先の監督
・・・委託者や受託者の責任の明確化、受託者に義務づけられる安全管理措置の具体的内容、委託者の質問・調査権限などを契約で規定したり、事故の際の責任の分担や損害賠償義務などを規定する。 |