- 個人情報保護委員会
- お問合せ
- FAQ索引
- 個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか
個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか
(漏えい等の考え方)Q6-1
個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか。
A6-1次のような事例が考えられます。
- 事例1)個人データを含むメールを第三者に誤送信した場合において、当該第三者が当該メールを削除するまでの間に当該メールに含まれる個人データを閲覧していないことが確認された場合
- 事例2)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合
なお、上記の事例において、誤送信先の取扱いやアクセスログ等が確認できない場合には、漏えい(又は漏えいのおそれ)に該当し得ます。
令和2年6月12日に公布された個人情報の保護に関する法律等の一部を改正する法律案、すなわち改正個人情報保護法は企業や組織として、または雇用される従業員として対応しておくべき課題と言えます。
今回は、改正個人情報保護法に関する基礎知識や企業や組織として従業員と情報共有すべきポイント、雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことをご紹介します。
改正個人情報保護法とは
はじめに改正個人情報保護法に関する基礎知識について簡単にチェックしておきましょう。
個人情報保護法の概要
まずは個人情報保護法の基本についてご説明します。
○個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律
○基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定
引用及び参考元:個人情報保護委員会
上記が個人情報保護法の基本として掲げられている項目です。例えば、商品を注文し、届けるためには住所や氏名が必要であり、個人は自分の情報を提供することが必須となります。企業や組織においても個人情報がなければ商品の配送はできません。この際、企業や組織が配送のために個人から預かった情報の取扱いに関する義務や規程を定めたのが、個人情報保護法です。
改正個人情報保護法のポイント
改正個人情報保護法の概要において主な項目を抜粋してみます。
1.個人の権利の在り方
2.事業者の守るべき責務の在り方
3.事業者による自主的な取組を促す仕組みの在り方
4.データ利活用に関する施策の在り方
5.ペナルティの在り方
6.法の域外適用・越境移転の在り方
上記は改正個人情報保護法の主な項目です。企業や組織として対応しなければならない理由は、個人情報保護法は法律であり、ペナルティが存在するということです。各項目における改正内容とともに個人情報保護法全体を把握せず、違反してしまうことで最大1億円以下の罰金が課せられます。
例えば、取得した個人情報を本人の同意を得ずに第三者に渡したり、サイバー攻撃や内部不正などによる情報漏えいが起きたことを隠したりすると、法人の規模などに応じて高額の罰金を支払わなくてはなりません。
改正法の各項目の詳細について知りたい場合は下記URLをご参照ください。
引用及び参考元:個人情報の保護に関する法律等の一部を改正する法律(概要)
企業や組織としてどのように取り組むかの法律的な根拠となる
個人情報保護法は、実際にはペナルティがあるから守るということではなく、企業や組織において、事前に個人情報を悪用しない、させないための方針や指針の策定などに取り組ませることが目的の法律です。情報漏えいや個人を害するようなことを起こさせないため、悪意のある第三者から個人を守るための法律と言えるでしょう。
企業や組織として個人情報保護法を法律的根拠として社内規則の制定、システム的な対応やデータの取扱い権限の割り振り、データベースのセキュリティ的な保護に対応しなくてはなりません。例えば、うっかりミスやヒューマンエラー、またはサイバー攻撃で情報漏えいしてしまったり、安易に内部不正が起きないようにする必要があります。
企業や組織として従業員と情報共有すべきポイント
次に企業や組織として従業員と情報共有すべきポイントをご説明します。
内部不正も含めて個人情報の漏えいには罰則があるということ
まずは企業や組織全体で内部不正や個人情報の漏えいには罰則があるということを周知徹底しましょう。特に正社員や契約社員、アルバイトやパートなど雇用形態に関わらず個人情報を取り扱う場合に注意が必要です。安易な気持ちで内部不正を行ってしまったり、情報漏えいしたりすることで、企業や組織だけでなく、自分自身に罰金やペナルティが発生することを理解してもらう必要があります。
内部不正も含めて個人情報を漏えいしないよう取り組むべきだということ
従業員といっても正社員やパート、アルバイトも含めて雇用形態、または個人の性格の差によって職務への責任感は異なります。その上で従業員全員が内部不正を起こさない、起こさせないようにすること、個人情報を漏えいしないよう取り組むべきだということです。意識改革や周知徹底でカバーできない範囲においては、何らかの形でシステム的に監視や制限、権限などの調整で個人情報にアクセスできないような仕組みを導入する必要があるでしょう。
雇用する側と働く側の両方が「個人情報を守る」という意識を持つ
そもそも個人情報とは個人を特定し得る情報の他、複数が組み合わさることで個人を特定できる情報の塊とも言えます。氏名がわからなくても、住所と年齢、性別がわかればどこの誰か特定できる可能性があることを意味します。どんな些細な情報でも従業員が勝手に取得したり悪用してしまったりすると、場合によっては個人情報保護法違反になる可能性が高まるということです。同時に、雇用する側と働く側が個人情報を守るという意識がなければ、企業や組織として信頼してもらえなくなります。結果として顧客離れ、ユーザー離れにつながれば、企業や組織としての存続が危うくなること、自身の収入を失うということも従業員全員が意識しておく必要があります。
雇用する側がシステム的に情報漏えいや内部不正を防ぐために
次に雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことを見ておきましょう。
情報漏えい対策としての社内ルールやシステム的な取り組み
情報漏えいはサイバー攻撃や内部不正の他、作業者のうっかりミスやヒューマンエラー、デバイスやUSBメモリなどの置き忘れなどが原因になりがちです。昨今ではテレワークで働く人も増えたため、デバイスやUSBメモリなどの盗難、盗み見なども原因となるでしょう。データの取扱いに関する社内ルールの制定の他、PC操作ログの監視、アクセスログの取得など、システム的に情報漏えいが起きないようにする体制を構築することが不可欠です。
同時にサイバー攻撃への対策として、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入や更新、ネットワークの監視や攻撃の感知などあらゆる面のセキュリティ対策を行うようにしましょう。
内部不正についてはハイリスク・ノーリターンであると理解させる
内部不正については、社内ルールによる罰則の他、ハイリスクであり、ノーリターンであることを理解させましょう。情報漏えい対策と同様にPC操作ログの監視、アクセスログの取得など「誰が、いつ、何をした」かを記録されているということを示すことが大切です。ノーリターンどころかマイナスになることさえあると理解してもらうこと、到底個人一人では賠償しきれないような問題となることも周知徹底すべきです。
その他、データの抜き取りや不正なコピーを行えないよう、デバイス単位で外部記憶デバイスにデータの移動や保存できない仕組み、または物理的にUSBポートに接続できないような対策を取ることも検討してみてください。
情報漏えいと内部不正を防ぐシステムとは
個人情報を守るため、そして従業員が安心・安全に業務を遂行するためには情報漏えいと内部不正を防ぐシステムが必要です。同時にサイバー攻撃の対策も行わなくてはなりません。
当社の提供する「AssetView」であれば、情報漏えい対策、内部不正対策、サイバー攻撃対策と、個人情報を守るための仕組みが備わっています。PC操作ログやアクセスログの取得、データの権限の割り振りやアクセス制限など、個人情報及び情報資産を守るための機能が豊富です。個人情報の保護にお悩みであれば、ぜひともこの機会にご相談、お問い合わせください。
まとめ:情報漏えいも内部不正もシステムによる防御が必須
今回は改正個人情報保護法に関する基礎知識や企業や組織として従業員と情報共有すべきポイント、そして雇用する側がシステム的に情報漏えいや内部不正を防ぐために必要なことをご紹介しました。
基本的にはシステム面での防御や対策と、従業員の協力による適切なデータの取扱いが個人情報を守ります。前述したように、改正個人情報保護法はペナルティがあるから守るというものではありません。顧客やユーザー、そして従業員や経営陣の安心や安全のために守るべき法律です。
単なるセキュリティ意識の向上や文書や口頭による注意喚起などの意識改革で終わらせないようにすること、必ずシステムやネットワーク、デバイス面においてセキュリティ対策することを忘れないようにしてください。
2022年4月1日より施行された「改正個人情報保護法」、具体的には何が変わって、どのような影響があるのか……
重要なポイントをQ&A形式で解説します!
A1.
一定の基準を満たす個人情報の漏えい(→Q2)が発生した際の義務や罰金が変わります。
具体的には、
- 個人情報保護委員会への報告義務化。
- 漏えい被害者本人への通知義務化。
- 罰金刑の引き上げ(個人情報保護委員会の命令や委員会への虚偽報告等)
の3点となります。
要配慮個人情報(医療情報・犯罪歴等)の漏えい、滅失若しくは毀損
Ex1.) 従業員の健康診断等の結果を含む個人データの流出
Ex2.)
診断情報や調剤情報を含む個人データを記録したUSBメモリの紛失
財産的被害が発生するおそれがある場合
Ex3.) クレジットカード情報の漏えい
Ex4.) 送金や決済機能のあるWebサイトのログインIDとPWの組み合わせの漏えい
不正な目的を以って行われた恐れがあるもの
Ex5.) 外部からのサイバー攻撃による漏えい
Ex6.) 従業員が顧客の個人データを不正に持ち出して第三者に提供した場合
漏えい被害者が1000人を超える場合
Ex7.) システムの設定ミスや、個人データのご送付等により、1000人超の個人情報が漏えいした場合
Q3.
もしも情報漏えいが発生してしまった場合、なにをする必要があるの?
A3.
情報漏えいが発生した場合、まずは報告対象事由に該当するか否かの判断が必要となります。
また、その判断を素早く行い、迅速な対応にあたるための体制や仕組みの策定、業務フローの見直しなども必要となるでしょう。
Q4.
実務において、具体的にはどんな影響があるの?
A4.
個人情報保護委員会への報告、被害者への通知のために、以下のような一定の対応と費用が生じる可能性があります。
- 専門事業者や弁護士への相談、漏えい被害者への対応
- フォレンジック費用ならびに被害者への見舞い費用
具体的には、下記の3点が工数または費用として発生します。
個人情報保護委員会への報告(義務化)
報告方法
- 個人情報保護委員会HPの報告フォームを使用
報告内容
- 概要、漏えいした個人データの項目、被害者数、原因、二次被害またはその恐れの有無
- 本人への対応の実施状況、公表実施の有無、再発防止措置、その他参考情報
- 速報(事由発生から約3~5日以内)と確報(事由発生から30日以内、不正目的の場合には60日以内)の2段階の報告が必要
想定される対応
- インシデント対応、再発防止策策定のための専門事業者との連携
- 原因調査被害範囲の特定のためのフォレンジック調査
- 報告対象有無の確認や報告フォーム作成のための弁護士相談
漏えい対象となった被害者本人への通知(義務化)
通知方法
- 法令上規定されている様式はありません。 通知するべき内容が「分かりやすく」伝わる方法を選択します。(例:文書、メール)
通知内容
- 概要、漏えいした個人データの項目、原因、二次被害及びその恐れの有無
想定される対応
- 被害者からの問い合わせ対応(コールセンター委託費用、超過人件費等)
- 漏えい被害者の名前、連絡先の特定
- 通知文書作成における弁護士への相談
罰金刑(引き上げ)
- 個人情報保護委員会の定める所定の命令に応じない場合や個人情報の不正提供が発覚した場合、最高1億円の罰金が科されます。
Q5.
速報や確報に記載する情報はどうやって取得すればいい?
A5.
情報漏えいが発生した場合、まずは報告対象事由に該当するか否かの判断が必要となります。
ログ管理ツールを導入することで、いつ・だれが・どのファイルにアクセスしていたかを分析することが可能となるため、何月何日何時何分から被害が発生したのか、被害の範囲がどこまで広がっているのを正確に測定することができます。
今すぐできるログ管理
操作ログ管理ソリューションの「MylogStar(マイログスター)」はお客様の用途に合わせた豊富なラインナップを用意しています。
例えば、管理サーバーの構築が難しい環境であれば、PC端末や重要データが保管されているファイルサーバーをピンポイントに管理することでログの取得が可能です。
例えば、迅速かつ手軽に導入することが必要であれば、管理サーバーも詳細設定も不要なクラウドサービスによるログの取得が可能です。
もちろん、いずれのサービスもログ管理に特化した製品としてPC操作の記録・管理・分析を行うことが可能です。
クラウド型
サブスクリプションサービス
MylogStar Cloud
簡単導入・簡単運用
低コスト
クライアント操作ログ管理をクラウドサービスとして提供。
導入作業や運用管理の工数を大幅に削減を実現して、情報漏洩対策や業務改善をサポート
スタンドアロン型
監視対象マシンにインストールするため管理サーバーは不要
MylogStar FileServer
サーバーOS対応
監視対象のServerOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能)
ファイルサーバーの共有フォルダのファイル操作を記録、ファイルサーバーアクセスログ管理を実現
MylogStar Desktop
クライアントOS対応
監視対象のClientOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能)
PC1台からの操作ログ管理。ネットワークのない物理環境でもログ管理を実現
改正個人情報保護法の“安全管理措置”に必要な対策とは?
改正個人情報保護法では、“安全管理措置”の対応が求められています。内容や対策についてご説明しております。
詳細はこちら
【関連記事】従業員のデータ複製&持ち出し、どう防ぐ?
データの持ち出しを防ぐ“適切な扱い”とは具体的にどのような扱いなのでしょうか。
詳細はこちら
【関連記事】そもそも“個人情報”ってどんな情報?
個人情報とはどんな情報なのか?どのようなことに気をつけなければならないのかをわかりやすくご説明しております。
詳細はこちら
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!