読者です 読者をやめる 読者になる 読者になる

第7回:個人情報保護法ガイドラインの解説(5)

1.はじめに

 全5回を予定している個人情報保護法ガイドラインの解説もいよいよ今回で最後となる。今回は、安全管理等に関する部分を扱う。
 個人情報保護法20条は「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定め、事業者に対して安全管理等のための措置をとることを求めている。そこで、「必要かつ適切」な措置とは具体的にどのような措置なのかが実務上重要な関心事となるが、個人情報保護法ガイドラインはこの点を具体化しており、そのポイントを押さえておくことが重要である。本解説では、特に中小規模事業者に関する規律に注目して検討していきたい。
 なお、以下で述べる内容については、今後Q&Aの策定等による具体化も予定されているので、個人情報保護委員会からの発表等にも引き続き注目が必要である*1

【凡例】
    個人情報の保護に関する法律(平成 15 年法律第 57 号)
政令   個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
規則   個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
改正法  個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成 27 年法律第 65 号)
パブコメ 個人情報の保護に関する法律施行令の一部を改正する政令(案)」および「個人情報の保護に関する法律施行規則(案)」に関する意見募集の結果について(平成28年10月5日公示)
〇〇編パブコメ 「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)」に関する意見募集の結果について(平成28年11月30日公示) 

 

 2.中小規模事業者特例の削除と同窓会・町内会等の個人情報取扱事業者性

(1)中小規模事業者特例

 個人情報を取り扱っているものの「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(……)の合計が過去6月以内のいずれの日においても5,000を超えない者」(現行政令2条)は、個人情報取扱事業者の定義から除外され(現行法2条3項5号)、個人情報取扱事業者としての義務を免れていた。
 しかし、改正法はこの2条3項5号を削除し、政令2条も削除されることになった。その結果、中小規模事業者も個人情報取扱事業者として個人情報保護法の規律に服することになった。
 確かに、中小規模事業者であっても、例えば5000人分の個人情報が流出すれば、その被害は無視できるものではないだろう。特に、個人情報の内容によっては1件流出するだけで大変なことになる場合すらある。その意味で、中小規模事業者というだけで一律に何らの規制をも設けないという現行法の規律には不合理なところがあり、改正法によって変更がなされたことにはやむを得ない部分があるだろう。
 とはいえ、新たに個人情報取扱事業者として規制の対象となる中小規模事業者に対して大規模事業者と同じ程度の負担を負わせるべきかという問題がある。この点を踏まえて附則11条では「個人情報保護委員会は、新個人情報保護法第8条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては、この法律の施行により旧個人情報保護法第2条第3項第5号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする」と規定している。このような観点から、「3.」で述べるとおり、個人情報保護委員会は一定の配慮を行っている。

 (2)同窓会・町内会等の個人情報取扱事業者性

 なお、中小規模事業者特例の廃止に伴って生じた問題として、個人情報取扱事業者性がある。例えば、従前は5000人以下の個人情報しか扱っていないとして個人情報取扱事業者にならないことも多かった同窓会や町内会は個人情報取扱事業者となるのだろうか。
 ある団体等が個人情報取扱事業者に該当するか否かについては、その営利・非営利を問わない(通則編〔各ガイドラインの名称については第1回を参照〕2−5)。そうすると、同窓会名簿や町内会名簿という形で個人データを取り扱っていることが多い同窓会、町内会等についても、個人情報取扱事業者に該当するように思われる。
 ここで、政令制定の過程において、同窓会名簿や町内会名簿を、利用方法からみて個人の権利利益を害するおそれが少ないものを例外として個人情報データベース等から外す政令3条に規定するべきかが議論された。結論としては、政令3条1項1号は個人情報データベース等から外されるための要件として「不特定かつ多数の者に販売」という要件を課しており、特定の相手方(同窓生、町内会会員)にのみ頒布ないし販売をするにとどまる同窓会名簿や町内会名簿は通常、この例外要件に該当しないため、同窓会名簿や町内会名簿はなお個人情報データベース等である(たとえば、政令・規則パブコメ268番参照)。
 そこで、同窓会、町内会が個人情報取扱事業者とみなされる可能性は高いといえる*2

3.安全管理措置と中小規模事業者特例

(1)はじめに

 ガイドラインにおいては、このような中小規模事業者等に対して一定の配慮が必要であるという発想から、事業者がとるべき安全管理措置について、一般の個人情報取扱事業者(以下「大規模事業者」という)と、中小規模事業者について分けて規定し、概ね大規模事業者の講じるべき安全管理措置は詳細に定める一方、中小規模事業者については、重要な点についてだけ措置を講じれば足りるという考え方を採用している(通則編8)*3

 ここで、ガイドラインにおける中小規模事業者の定義は「従業員の数が100人以下の個人情報取扱事業者」のうち「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において 5,000を超える者」と「委託を受けて個人データを取り扱う者」を除くものとされている(通則編8*1)。従業員数(中小企業基本法に基づく、通則編8*2)が100人以下という規模基準をベースに、改正前において個人情報取扱事業者であった「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において 5,000 を超える者」および、しっかりとした安全管理措置を講じる必要性の高い「委託を受けて個人データを取り扱う者」を除外している
 以下、基本方針、規律整備、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の順にその概要を、特に大規模事業者と中小規模事業者の相違点にフォーカスして概説する。

(2)基本方針

 まず、個人情報の取扱いに関する基本方針の策定が求められる。これについては、大規模事業者と中小規模事業者の区別なく「個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要」とされている(通則編8−1)。
 確かに、中小規模事業者であっても基本方針を持つことは重要であり、また、その内容は「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」程度の抽象的なものが想定されている(通則編8−1)ことから、過重な負担にはならないと判断されたのだろう。

(3)規律整備

 経産省ガイドラインでは、規程類の整備(安全管理に対する規程や手順書)が必要とされていた(経産省ガイドライン2−2−3−2)ところ、ガイドラインでは「規律」という表現がされ、その整備が求められている(通則編8−2)。この趣旨は必ずしも明確ではないが、業務マニュアル等で何らかの「きまり」を定めればよく、特に中小規模事業者において「個人情報管理規程」のような仰々しい規程までは設けなくてよいという趣旨と理解される*4

 その手法として、大規模事業者では「取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定することが考えられる」(通則編8−2)とされるが、中小規模事業者では「個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する」(通則編8−2)とされており、取扱規程を策定することまでは求められておらず、基本的な取扱い方法について何らかの「きまり」を定めればよいという趣旨と理解される*5
 なお、個人データの取扱いの全部を委託しているからといって規律整備が不要となるわけではないものの、その内容は簡易なものでもよいと解されている*6

(4)組織的安全管理措置

 組織的安全管理措置については以下の各項目が定められているところ、紙幅の関係で、ここでは中小規模事業者についてどのような組織的安全管理措置がなされればよいとされているかを紹介するにとどめる。

 まず、組織体制の整備である。これについては、中小規模事業者については「個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する」とされる(通則編8−3(1))。
 次に、個人データの取扱いにかかる規律に従った運用(通則編8−3(2))と個人データの取扱い状況を確認する手段の整備(通則編8−3(3))が求められる。これら双方につき、中小規模事業者については「あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する」とされている。
 さらに、漏えい等の事案に対応する体制の整備が求められる。これについては、中小規模事業者につき「漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する」とされている(通則編8−3(5))。
 最後に、取扱状況の把握および安全管理措置の見直しである。これについては、中小規模事業者につき「責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う」とされている(通則編8−3(6))。
 この程度であれば、ある程度規模が小さい事業者でも対応は不可能ではないと思われるところ、大規模事業者に対してはより詳細な組織的管理措置が規定(通則編8−3)されており、この点では、中小規模事業者に対する配慮をしているといえるだろう。

 (5)人的安全管理措置

 人的安全管理措置として、大規模事業者も中小規模事業者も従業員の教育が必要とされている。すなわち大規模事業者については「個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う」、および中小規模事業者については「個人データについての秘密保持に関する事項を就業規則等に盛り込む」とされていて、両者の差はない(通則編8−4)。実際には、研修の頻度等において中小規模事業者では大規模事業者のようなものまでは求められないと解すべきであろう(通則編パブコメ650)。

(6)物理的安全管理措置

 物理的安全管理措置については、中小規模事業者について以下のような規律が適用される。

 まず、個人データを取り扱う区域の管理である。これについては、中小規模事業者につき「個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる」ことが求められる(通則編8−5(1))。
 次に、電子媒体等を持ち運ぶ場合の漏えい等の防止である。これについては、中小規模事業者につき「個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための 安全な方策を講ずる」ことが求められる(通則編8−5(3))。
 さらに、個人データの削除および機器、電子媒体等の廃棄である。これについては、中小規模事業者につき「個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する」とされている(通則編8−5(5))。
 ここで注目されるのは、「機器及び電子媒体等の盗難等の防止」(通則編8−5(2))であり、中小規模事業者も、大規模事業者と同様「個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する」措置、および「個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する」措置等が要求されている。これは、機器、電子媒体の盗難等による個人情報漏えいの被害の防止が重要であること、および中小規模事業者でも資産管理として重要物件の施錠保管やワイヤー固定等が一定程度行われていることによると理解される。

(7)技術的安全管理措置

 最後に、技術的安全管理措置に関しても、中小規模事業者について特例が設けられている。

 すなわち、アクセス制御につき「個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する」措置(通則編8−6(1))、アクセス者の識別と認証につき「機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する」措置(通則編8−6(2))、外部からの不正アクセス等の防止につき「個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する」措置および「個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする」措置(通則編8−6(3))、情報システムの使用に伴う漏えい等の防止につき「メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する」措置(通則編8−6(4))、等を講じることが求められている。なお、若干ではあるが大規模事業者と比較して義務が軽減されている。

参考:中小規模事業者の特例が明示的には設けられていない事項

8-1

基本方針の策定

中小規模事業者についても「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等を盛り込んだ基本方針の策定が求められる。

8-4

人的安全管理措置

中小規模事業者についても個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行うことや、個人データについての秘密保持に関する事項を就業規則等に盛り込むことが求められる。

8-5(2)

物理的安全管理措置

(2)機器および電子媒体等の盗難等の防止

中小規模事業者についても個人データを取り扱う機器、個人データが記録された電子媒体または個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管することや、個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定することが求められている。

4.総括

 本年5月30日の改正個人情報保護法の施行まで、約4ヶ月であるが、昨年からの全5回にわたるガイドラインの解説の連載により、実務的な留意点のうち重要なものを解説することができたのではないかと思われる。
 今後は、例えば、金融機関特有の問題、データが漏えいした場合の問題、規程類の改訂方法等、施行に際して生じ得る様々な実務上の問題について、我々が実務上受けている相談の内容等を踏まえて解説していきたいと考えているので、ぜひ、ご期待いただきたい。

(加藤伸樹・大島義則・松尾剛行)

*1:通則編パブコメ610番等参照。

*2:なお、同窓会、町内会向けの名簿作成の手引きにつきhttp://www.ppc.go.jp/files/pdf/meibo_sakusei.pdf参照

*3:それでは、形式的に中小規模事業者にあたらないというだけで、グローバルな上場企業と同様の安全管理措置が必要になるのか、という疑問も生じるだろうが、この点については、「中小規模事業者の定義には該当しないものの、規模が比較的小さい事業者等について、グローバルな上場企業と同じ安全管理措置が求められるということではなく、当該事業者において必要かつ適切な手法で足ります。」とされている(総則編パブコメ624番)。

*4:「本ガイドライン(通則編)案の『個人データの具体的な取扱に係る規律』とは、個人データの取得、利用、保存等を行う場合の基本的な取扱方法等を定めたものを指します。したがって、個人データの具体的な取扱を定める取扱規程もこれに含まれますが、それらの内容を含む業務マニュアル等もこれに含まれ、また、口頭により個人データの取扱方法等として従業者に周知されているものがあれば当該内容もこれに含まれます。」(総則編パブコメ638番)。

*5:中小規模事業者が取扱方法を「整備」するという趣旨は、「規程」や「マニュアル」を策定する必要はなく、例えば社内の告知文書や電子メール等で基本的な取扱方法を告知することも「整備」に含まれるとされている(通則編パブコメ635番)。

*6:通則編パブコメ640番「個人データの取扱いの全部を委託している場合も、個人データの取扱いに係る規律を整備することが必要です。なお、この場合は、個人データの取扱いの全部を委託することが何らかの形で定められており、適切に委託先の監督(改正後の法第22条)(委託契約の締結等を含む。)が行われていれば足りるものと考えられます。」