他人事でない個人情報保護

■情報流出が経営に与えるインパクト

 

個人情報保護なんて大きい会社の話でしょ？

なんて思っている方いませんか？

それがそうではないんです。

 

個人情報保護の話に会社の大小は関係ないんですね。

（実をいうと細かい所で多少ありますが）

 

ニュースに出る話がどうしても「何万件データ流出！とか、行政の住民データが流出！」とか大事のみなので、一見、中小企業には関係なさそな話、という風に見えてしまいがちです。

 

でもどうでしょう。

 

小売り系の商売ででお買い上げいただいた商品を業者配送で送っているような方。

ネットショップとか最近多いですね。店舗持ってらっしゃる方でもネットでの売上は無視できない感じになっていることでしょう。顧客情報としての個人情報を皆さん結構扱ってますよね。

 

そこで、です。

ちょっと例を挙げます。

 

送付物に添付している納品書、ありますよね。

あれ、間違って入れたらどうなるでしょう？テレコで。

 

白ヤギさん宛ての送付物に黒ヤギさんの納品書を誤封入。

黒ヤギさん宛ての送付物に白ヤギさんの納品書を誤封入。

白ヤギさんには黒ヤギさんの納品書が届く。

黒ヤギさんには白ヤギさんの納品書が届く。

 

納品書には住所と氏名が記載されている。

白ヤギさんは黒ヤギさんの名前とどこに住んでいるか分かる。

黒ヤギさんも同様。

 

これ、個人情報保護ガイドラインでは個人情報の流出、ということになります。

ニュースで出ている「流出」です。

となると大変です。

 

中小零細であろうと何だろうと個人情報を流出、漏えいしてしまえば、顧客対応でてんやわんやの状況に陥ります。会社の信用は失墜。下手をすれば売上減少・コスト増で倒産。

 

こわいですねぇ。

 

実際、梱包送付作業というのは、見たことある方もいらっしゃると思いますが、基本手作業なんですね。なので間違いってのはゼロにはできないんです。

人のやることなので、究極防げないんですね。

 

私自身、昔、某Nという通信キャリアにいたことがありまして、漏えい事件を経験しました。通話履歴データを誤封入というかなり恐ろしいミスでした（汗）

 

原因はバイトくんの封入ミス。チェックはしてたんですけどね。

チェックもミスする、という事態が起こるとこれどうしようもない。

その時はチェックミスをしないような制度に変えましたね。

その制度内容に興味がある方は当方宛てお問合せいただければ別途お伝えします。

 

さて、ここで根本的なお話し。

 

個人情報って何でしょう？

何をもって個人情報と言うのでしょう？

 

これを知らないと、いくら流出だの漏えいだのと言っても言語明瞭意味不明状態です。

 

 

■個人情報とは何か、個人情報取扱事業者とは誰か。

 

個人情報の流出が大企業のみの話ではない、ということをお話ししました。

個人情報とは何か、その定義について見ていきたいと思います。

定義となると、法律ということになります。

 

個人情報保護については、個人情報保護法という法律がありまして、その第一章総則の二条に定義の規定がのっています。

 

（定義）

第二条 　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

 

基本的に、生存する個人に関する情報ですね。

内容的には、

 

・氏名

・生年月日

・その他の記述により特定の個人を識別できるもの

 

というところ。

何かいまいちはっきりしないですよね。

 

氏名だけでは特定の個人を識別できないんじゃない？

とか

その他の記述って何？

とか

 

詳細不明なままです。

 

まあ、基本法律というのはそういうもので（私の勝手な解釈）、実際の運用は政令とかガイドラインとかでされていくことになりますよね。

 

個人情報保護についても、実際ガイドラインでの運用がなされています。

ガイドラインはその事業別に所轄官庁が分けられています。

その分野計２７分野、ガイドライン数は４０におよびます。

 

事業全般に関するものは経産省さんの所轄ですので、ここでは経産省のガイドラインを参考に見ていくことにします。

 

早速ガイドラインを開けると、先の法二条一項の定義の具体的事例が書いてあります。

 

【個人情報に該当する事例】

事例１）本人の氏名

事例２）生年月日、連絡先（住所・居所・電話番号・メールアドレス）、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報

事例３）防犯カメラに記録された情報等本人が判別できる映像情報

事例４）特定の個人を識別できるメールアドレス情報（keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)

事例５）特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報

事例６）雇用管理情報（会社が従業員を評価した情報を含む。）

事例７）個人情報を取得後に当該情報に付加された個人に関する情報（取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。）

事例８）官報、電話帳、職員録等で公にされている情報（本人の氏名等）

 

かなり範囲が広いですよね。

本人の氏名だけでも個人情報に該当する、という判断がされていますので、氏名だけじゃ特定の個人を識別できないでしょ、という話は無しですね。

 

さ、話は戻って先の納品書の件。

○山○男　様と記載があるのが普通ですから、やはり個人情報にあたりますね。

なので、これを誤封入すれば個人情報流出になります。

 

流出・漏えいした事業者が個人情報取扱事業者であれば、ガイドラインに則った対応をとらねばなりません。

 

それがどのような対応なのか、何をしなければならないか、という前に、新しく出てきました、個人情報取扱事業者という言葉についてお話ししたいと思います。

 

個人情報取扱事業者とは誰のことをいうのでしょうか？

先程個人情報の定義を見たのと同様、取扱事業者についても、その定義から見ていきましょう。

 

まずは条文。個人情報保護法２条３項ですね。

 

３ 　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

一 　国の機関

二 　地方公共団体

三 　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律 （平成十五年法律第五十九号）第二条第一項 に規定する独立行政法人等をいう。以下同じ。）

四 　地方独立行政法人（地方独立行政法人法 （平成十五年法律第百十八号）第二条第一項 に規定する地方独立行政法人をいう。以下同じ。）

五 　その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

 

基本的に個人情報DBを事業で扱う民間はみんな該当するということですね。

気になるのは除外規定の五の政令。

 

はい、これも見てみましょう。

 

（個人情報取扱事業者から除外される者）

第二条 　法第二条第三項第五号 の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数（当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。）の合計が過去六月以内のいずれの日においても五千を超えない者とする。

一 　個人情報として次に掲げるもののみが含まれるもの

イ　氏名

ロ　住所又は居所（地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。）

ハ　電話番号

二 　不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの

 

使っているデータ数が５０００以下だったら事業者ではない、ということですね。

これに当て嵌まれば、個人情報保護事業者がとらねばならない、ガイドライン上の情報漏えい時の対応は必要ない、ということになります。

 

実際に顧客対応などはガイドライン云々の問題ではなく、やらなくてはいけない話ですので、世間に公表することや、主務大臣への報告が不要、ということになりますね。

 

５０００データって大きいようで意外にすぐいっちゃうかもしれません。管理顧客数５０００、ということですからね。延べ数です。

 

さて、言葉の定義があらかたはっきりしたところで、次に情報漏えい時の対応はガイドライン上でどう定められているかについて見ていきましょう。

 

 

■情報漏洩時の対応方法

 

さて、「個人情報とは何か、それを保護すべき事業者が誰か」が分かったところで、今回は「情報が漏えいした場合どう対応すれば良いか」を見ていきたいと思います。

 

対応方法は所轄官庁のガイドラインに例示として記載があります。いろいろな業界団体で別途定めているものもあるでしょうが、基本形は役所のガイドラインなのでここを押さえておけば間違いありません。

 

経産省のガイドラインでは、手法の例示、という形で一定の対応方法が示されています。

ガイドライン記載の内容をそのまま記載しますと、

 

⑤「事故又は違反への対処」を実践するために講じることが望まれる手法の例示

・以下の(ア)から(カ)までの手順の整備

ただし、書店で誰もが容易に入手できる市販名簿等（事業者において全く加工をしていないもの）を紛失等した場合には、以下の対処をする必要はないものと考えられる。

（ア）事実調査、原因の究明

（イ）影響範囲の特定

（ウ）再発防止策の検討・実施

（エ）影響を受ける可能性のある本人への連絡

自己または違反について本人へ謝罪し、二次被害を防止するために、可能な限り本人へ連絡することが望ましい。ただし、例えば、以下のように、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さいと考えられる場合には、本人への連絡を省略しても構わないものと考えられる。

・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合

・高度な暗号化等の秘匿化が施されている場合（ただし、（オ）に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。）

・漏えい等をした事業者以外では、特定の個人を識別することができない場合（事業者が所有する個人データと照合することによって、はじめて個人データとなる場合。ただし（オ）に定める報告の際、漏えい等をした事業者以外では特定の個人を識別することができないものと判断できる措置内容を具体的に報告すること。）

（オ）主務大臣等への報告

ａ．個人情報取扱事業者が認定個人情報保護団体の対象事業者の場合

認定個人情報保護団体の業務の対象となる個人情報取扱事業者（以下「対象事業者」という。）は、経済産業大臣（主務大臣）への報告に代えて、自己が所属する認定個人情報保護団体に報告を行うことができる。認定個人情報保護団体は、対象事業者の自己又は違反の概況を経済産業省に定期的に報告する。ただし、以下の場合は、経済産業大臣（主務大臣）に、逐次速やかに報告を行うことが望ましい。

・機微にわたる個人データ（（a）思想、信条又は宗教に関する事項、（b）人種、民族、門地、本籍地（所在都道府県に関する情報のみの場合を除く）、身体・精神障害、犯罪歴その他社会的差別の原因となる事項、（c）勤労者の団結権、団体交渉その他団体行動の行為に関する事項、（d）集団示威行為への参加、請願権の行使その他団体行動の行為に関する事項、（e）保健医療又は性生活に関する事項等）を漏えいした場合

・信用情報、クレジットカード番号等を含む個人データが漏えいした場合であって、二次被害が発生する可能性が高い場合

・同一事業者において漏えい等の事故（特に同種事案）が繰り返し発生した場合

・その他認定個人情報保護団体が必要と考える場合

ｂ．個人情報取扱事業者が認定個人情報保護団体の対象事業者でない場合

経済産業大臣（主務大臣）に報告を行う。

ｃ．関係機関への報告

認定個人情報保護団体の対象事業者であるか否かにかかわらず、主務大臣に報告するほか、所属する業界団体等の関係機関に報告を行うことが望ましい。なお、a．及びｂ．いずれの場合も、事業者は次の事例について、認定個人情報保護団体又は主務大臣への報告を月に一回ごとにまとめて実施することができる。

・ファクシミリやメールのご送信（宛名及び送信者名以外に個人情報が含まれていない場合に限る。）。なお、内容物に個人情報が含まれない荷物等の宅配又は郵送を委託したところ、誤配によって宛名に記載された個人データが第三者に開示された場合については、報告する必要はない

（カ）事実関係、再発防止策等公表

二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性が無い場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間等で、当該事案に関する情報が共有されることが望ましい。

・影響を受ける可能性のある本人すべてに連絡がついた場合

・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合

・高度な暗号化等の秘匿化が施されている場合（ただし、（オ）に定める報告の際、高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること。）

・漏えい等をした事業者以外では、特定の個人を識別することができない場合（事業者が所有する個人データと照合することによって、はじめて個人データとなる場合。ただし、（オ）に定める報告の際、漏えい等をした事業者以外では特定の個人を識別することができないものと判断できる措置内容を具体的に報告すること。）

 

とこんな感じです。ざくっというと、

 

①事実調査、原因究明

②影響範囲の特定

③再発防止策の検討実施

④影響を受ける可能性のある本人への連絡

⑤主務大臣、法定個人情報保護団体への報告

⑥事実関係、再発防止策の公表

 

が必要になる、ということです。

 

ただし、

 

紛失等した個人データを第三者に見られることなく速やかに回収した場合等、本人の権利利益が侵害されていないには本人への連絡は不要、

 

とされています。

また、

 

影響を受ける可能性のある本人すべてに連絡がついた場合や前記のように第三者にデータを見られることなく速やかに回収した場合等には公表を省略しても構わない、

 

ともされています。

 

経営にインパクトがあるのは、公表ですから、個人情報保護事業者に該当する事業者さんは、流出や漏えいが判明した時点で、いかにすばやく対応し、連絡をするか、というのがマイナスの影響を最小限にする方策ですね。

 

情報漏えいの財務的影響は、というと直接的には損害賠償債務、ということになります。

これまでの例からすると、１件当たり数百円～数万円という範囲となっており、余程のデータ流出でもない限り、これにより会社が傾く云々ということにはなりづらいでしょう。

 

むしろ、信用失墜、会社の信頼、事業への信頼が失われることによる客数減、売上減、が最も恐れなければならない影響ですね。信用はお金で解決できないですから。

 

普段何気なく行っている事業についても、意外と危険が潜んでいます。

好調な時ほど危険は広く深く潜みがちです。

 

今回は個人情報保護についてのお話しでしたが、これを機会にぜひ自社の事業リスクを洗い出してみてください。

 

会社が潰れないためにはどうするか、何をすべきか。

平時の準備が大切です。