第７回：個人情報保護法ガイドラインの解説（５） - 若手弁護士が解説する個人情報・プライバシー法律実務の最新動向

１．はじめに

　全５回を予定している個人情報保護法ガイドラインの解説もいよいよ今回で最後となる。今回は、安全管理等に関する部分を扱う。
　個人情報保護法20条は「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定め、事業者に対して安全管理等のための措置をとることを求めている。そこで、「必要かつ適切」な措置とは具体的にどのような措置なのかが実務上重要な関心事となるが、個人情報保護法ガイドラインはこの点を具体化しており、そのポイントを押さえておくことが重要である。本解説では、特に中小規模事業者に関する規律に注目して検討していきたい。
　なお、以下で述べる内容については、今後Ｑ&Ａの策定等による具体化も予定されているので、個人情報保護委員会からの発表等にも引き続き注目が必要である*1。

【凡例】
法　　　　個人情報の保護に関する法律（平成 15 年法律第 57 号）
政令　　　個人情報の保護に関する法律施行令（平成 15 年政令第 507 号）
規則　　　個人情報の保護に関する法律施行規則（平成 28 年個人情報保護委員会規則第３号）
改正法　　個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律（平成 27 年法律第 65 号）
パブコメ　個人情報の保護に関する法律施行令の一部を改正する政令（案）」および「個人情報の保護に関する法律施行規則（案）」に関する意見募集の結果について（平成28年10月５日公示）
〇〇編パブコメ　「個人情報の保護に関する法律についてのガイドライン（通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編）（案）」に関する意見募集の結果について（平成28年11月30日公示）

２．中小規模事業者特例の削除と同窓会・町内会等の個人情報取扱事業者性

（１）中小規模事業者特例

　個人情報を取り扱っているものの「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数（……）の合計が過去６月以内のいずれの日においても5,000を超えない者」（現行政令２条）は、個人情報取扱事業者の定義から除外され（現行法２条３項５号）、個人情報取扱事業者としての義務を免れていた。
　しかし、改正法はこの２条３項５号を削除し、政令２条も削除されることになった。その結果、中小規模事業者も個人情報取扱事業者として個人情報保護法の規律に服することになった。
　確かに、中小規模事業者であっても、例えば5000人分の個人情報が流出すれば、その被害は無視できるものではないだろう。特に、個人情報の内容によっては１件流出するだけで大変なことになる場合すらある。その意味で、中小規模事業者というだけで一律に何らの規制をも設けないという現行法の規律には不合理なところがあり、改正法によって変更がなされたことにはやむを得ない部分があるだろう。
　とはいえ、新たに個人情報取扱事業者として規制の対象となる中小規模事業者に対して大規模事業者と同じ程度の負担を負わせるべきかという問題がある。この点を踏まえて附則11条では「個人情報保護委員会は、新個人情報保護法第８条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては、この法律の施行により旧個人情報保護法第２条第３項第５号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする」と規定している。このような観点から、「３．」で述べるとおり、個人情報保護委員会は一定の配慮を行っている。

（２）同窓会・町内会等の個人情報取扱事業者性

　なお、中小規模事業者特例の廃止に伴って生じた問題として、個人情報取扱事業者性がある。例えば、従前は5000人以下の個人情報しか扱っていないとして個人情報取扱事業者にならないことも多かった同窓会や町内会は個人情報取扱事業者となるのだろうか。
　ある団体等が個人情報取扱事業者に該当するか否かについては、その営利・非営利を問わない（通則編〔各ガイドラインの名称については第1回を参照〕２−５）。そうすると、同窓会名簿や町内会名簿という形で個人データを取り扱っていることが多い同窓会、町内会等についても、個人情報取扱事業者に該当するように思われる。
　ここで、政令制定の過程において、同窓会名簿や町内会名簿を、利用方法からみて個人の権利利益を害するおそれが少ないものを例外として個人情報データベース等から外す政令３条に規定するべきかが議論された。結論としては、政令３条１項１号は個人情報データベース等から外されるための要件として「不特定かつ多数の者に販売」という要件を課しており、特定の相手方（同窓生、町内会会員）にのみ頒布ないし販売をするにとどまる同窓会名簿や町内会名簿は通常、この例外要件に該当しないため、同窓会名簿や町内会名簿はなお個人情報データベース等である（たとえば、政令・規則パブコメ268番参照）。
　そこで、同窓会、町内会が個人情報取扱事業者とみなされる可能性は高いといえる*2。

３．安全管理措置と中小規模事業者特例

（１）はじめに

　ガイドラインにおいては、このような中小規模事業者等に対して一定の配慮が必要であるという発想から、事業者がとるべき安全管理措置について、一般の個人情報取扱事業者（以下「大規模事業者」という）と、中小規模事業者について分けて規定し、概ね大規模事業者の講じるべき安全管理措置は詳細に定める一方、中小規模事業者については、重要な点についてだけ措置を講じれば足りるという考え方を採用している（通則編８）*3。

　ここで、ガイドラインにおける中小規模事業者の定義は「従業員の数が100人以下の個人情報取扱事業者」のうち「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６月以内のいずれかの日において 5,000を超える者」と「委託を受けて個人データを取り扱う者」を除くものとされている（通則編８＊１）。従業員数（中小企業基本法に基づく、通則編８＊２）が100人以下という規模基準をベースに、改正前において個人情報取扱事業者であった「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６月以内のいずれかの日において 5,000 を超える者」および、しっかりとした安全管理措置を講じる必要性の高い「委託を受けて個人データを取り扱う者」を除外している。
　以下、基本方針、規律整備、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の順にその概要を、特に大規模事業者と中小規模事業者の相違点にフォーカスして概説する。

（２）基本方針

　まず、個人情報の取扱いに関する基本方針の策定が求められる。これについては、大規模事業者と中小規模事業者の区別なく「個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要」とされている（通則編８−１）。
　確かに、中小規模事業者であっても基本方針を持つことは重要であり、また、その内容は「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」程度の抽象的なものが想定されている（通則編８−１）ことから、過重な負担にはならないと判断されたのだろう。

（３）規律整備

　経産省ガイドラインでは、規程類の整備（安全管理に対する規程や手順書）が必要とされていた（経産省ガイドライン２−２−３−２）ところ、ガイドラインでは「規律」という表現がされ、その整備が求められている（通則編８−２）。この趣旨は必ずしも明確ではないが、業務マニュアル等で何らかの「きまり」を定めればよく、特に中小規模事業者において「個人情報管理規程」のような仰々しい規程までは設けなくてよいという趣旨と理解される*4。

　その手法として、大規模事業者では「取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定することが考えられる」（通則編８−２）とされるが、中小規模事業者では「個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する」（通則編８−２）とされており、取扱規程を策定することまでは求められておらず、基本的な取扱い方法について何らかの「きまり」を定めればよいという趣旨と理解される*5。
　なお、個人データの取扱いの全部を委託しているからといって規律整備が不要となるわけではないものの、その内容は簡易なものでもよいと解されている*6。

（４）組織的安全管理措置

　組織的安全管理措置については以下の各項目が定められているところ、紙幅の関係で、ここでは中小規模事業者についてどのような組織的安全管理措置がなされればよいとされているかを紹介するにとどめる。

　まず、組織体制の整備である。これについては、中小規模事業者については「個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する」とされる（通則編８−３（１））。
　次に、個人データの取扱いにかかる規律に従った運用（通則編８−３（２））と個人データの取扱い状況を確認する手段の整備（通則編８−３（３））が求められる。これら双方につき、中小規模事業者については「あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する」とされている。
　さらに、漏えい等の事案に対応する体制の整備が求められる。これについては、中小規模事業者につき「漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する」とされている（通則編８−３（５））。
　最後に、取扱状況の把握および安全管理措置の見直しである。これについては、中小規模事業者につき「責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う」とされている（通則編８−３（６））。
　この程度であれば、ある程度規模が小さい事業者でも対応は不可能ではないと思われるところ、大規模事業者に対してはより詳細な組織的管理措置が規定（通則編８−３）されており、この点では、中小規模事業者に対する配慮をしているといえるだろう。

（５）人的安全管理措置

　人的安全管理措置として、大規模事業者も中小規模事業者も従業員の教育が必要とされている。すなわち大規模事業者については「個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う」、および中小規模事業者については「個人データについての秘密保持に関する事項を就業規則等に盛り込む」とされていて、両者の差はない（通則編８−４）。実際には、研修の頻度等において中小規模事業者では大規模事業者のようなものまでは求められないと解すべきであろう（通則編パブコメ650）。

（６）物理的安全管理措置

　物理的安全管理措置については、中小規模事業者について以下のような規律が適用される。

　まず、個人データを取り扱う区域の管理である。これについては、中小規模事業者につき「個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる」ことが求められる（通則編８−５（１））。
　次に、電子媒体等を持ち運ぶ場合の漏えい等の防止である。これについては、中小規模事業者につき「個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる」ことが求められる（通則編８−５（３））。
　さらに、個人データの削除および機器、電子媒体等の廃棄である。これについては、中小規模事業者につき「個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する」とされている（通則編８−５（５））。
　ここで注目されるのは、「機器及び電子媒体等の盗難等の防止」（通則編８−５（２））であり、中小規模事業者も、大規模事業者と同様「個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する」措置、および「個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する」措置等が要求されている。これは、機器、電子媒体の盗難等による個人情報漏えいの被害の防止が重要であること、および中小規模事業者でも資産管理として重要物件の施錠保管やワイヤー固定等が一定程度行われていることによると理解される。

（７）技術的安全管理措置

　最後に、技術的安全管理措置に関しても、中小規模事業者について特例が設けられている。

　すなわち、アクセス制御につき「個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する」措置（通則編８−６（１））、アクセス者の識別と認証につき「機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する」措置（通則編８−６（２））、外部からの不正アクセス等の防止につき「個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する」措置および「個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする」措置（通則編８−６（３））、情報システムの使用に伴う漏えい等の防止につき「メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する」措置（通則編８−６（４））、等を講じることが求められている。なお、若干ではあるが大規模事業者と比較して義務が軽減されている。

参考：中小規模事業者の特例が明示的には設けられていない事項

８－１

基本方針の策定

中小規模事業者についても「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等を盛り込んだ基本方針の策定が求められる。

８－４

人的安全管理措置

中小規模事業者についても個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行うことや、個人データについての秘密保持に関する事項を就業規則等に盛り込むことが求められる。

８－５（２）

物理的安全管理措置

(２)機器および電子媒体等の盗難等の防止

中小規模事業者についても個人データを取り扱う機器、個人データが記録された電子媒体または個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管することや、個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定することが求められている。

４．総括

　本年５月30日の改正個人情報保護法の施行まで、約４ヶ月であるが、昨年からの全５回にわたるガイドラインの解説の連載により、実務的な留意点のうち重要なものを解説することができたのではないかと思われる。
　今後は、例えば、金融機関特有の問題、データが漏えいした場合の問題、規程類の改訂方法等、施行に際して生じ得る様々な実務上の問題について、我々が実務上受けている相談の内容等を踏まえて解説していきたいと考えているので、ぜひ、ご期待いただきたい。

（加藤伸樹・大島義則・松尾剛行）

*1:通則編パブコメ610番等参照。

*2:なお、同窓会、町内会向けの名簿作成の手引きにつきhttp://www.ppc.go.jp/files/pdf/meibo_sakusei.pdf参照

*3:それでは、形式的に中小規模事業者にあたらないというだけで、グローバルな上場企業と同様の安全管理措置が必要になるのか、という疑問も生じるだろうが、この点については、「中小規模事業者の定義には該当しないものの、規模が比較的小さい事業者等について、グローバルな上場企業と同じ安全管理措置が求められるということではなく、当該事業者において必要かつ適切な手法で足ります。」とされている（総則編パブコメ624番）。

*4:「本ガイドライン（通則編）案の『個人データの具体的な取扱に係る規律』とは、個人データの取得、利用、保存等を行う場合の基本的な取扱方法等を定めたものを指します。したがって、個人データの具体的な取扱を定める取扱規程もこれに含まれますが、それらの内容を含む業務マニュアル等もこれに含まれ、また、口頭により個人データの取扱方法等として従業者に周知されているものがあれば当該内容もこれに含まれます。」（総則編パブコメ638番）。

*5:中小規模事業者が取扱方法を「整備」するという趣旨は、「規程」や「マニュアル」を策定する必要はなく、例えば社内の告知文書や電子メール等で基本的な取扱方法を告知することも「整備」に含まれるとされている（通則編パブコメ635番）。

*6:通則編パブコメ640番「個人データの取扱いの全部を委託している場合も、個人データの取扱いに係る規律を整備することが必要です。なお、この場合は、個人データの取扱いの全部を委託することが何らかの形で定められており、適切に委託先の監督（改正後の法第22条）（委託契約の締結等を含む。）が行われていれば足りるものと考えられます。」