中小企業にも求められる個人情報の安全管理措置
近時、個人情報の保護が重要となっており、個人情報保護法では、中小企業を含むすべての個人情報取扱事業者に対し、取り扱う個人データの漏えい、滅失、毀損などを防ぐために「安全管理措置」を講じることを義務付けています。
ここで定められている義務はいわゆる努力義務ではなく、具体的な義務規定となっています。
中小規模事業者への特例
個人情報保護委員会のガイドラインでは、中小規模事業者の実情に配慮した特例が設けられています。
保有する個人データの量や従業員数が少ないことなどを踏まえ、大企業よりも緩和された手法の例示が示されています。
なお、中小規模事業者とは、主に従業員の数が100人以下の事業者を指します。
中小規模事業者が講じるべき4つの安全管理措置
1. 組織的安全管理措置
事業者が組織として取り組むべき体制整備です。具体的には以下の措置が挙げられます。
- 個人データの取扱いに関する責任者を設置
- 従業者やその役割(取り扱う個人データの範囲)を明確化
- 違反の兆候を把握した場合の報告連絡体制を整備
- 取扱状況について定期的に自己点検や監査を実施
2. 人的安全管理措置
従業員などに対する教育や監督に関する措置です。
- 従業者に対し、個人データ取扱いに関する定期的な研修を実施
- 秘密保持に関する事項を就業規則などに盛り込む
3. 物理的安全管理措置
個人データを取り扱う機器や書類など、物理的保護の措置です。
- 書類や電子媒体を鍵のかかるキャビネット等で保管
- 取扱区域における入退室管理
- 盗難や紛失を防止する措置を講じる
4. 技術的安全管理措置
情報システムに対する不正アクセスを防止する技術的措置です。
- アクセス制御の実施と担当範囲の限定
- 不正アクセスや不正ソフトウェア対策の導入
- ファイルへのパスワード設定など
委託先・従業者への監督義務
安全管理措置を確実に実施するため、自社だけでなく、個人データを取り扱う従業者や委託先に対して必要かつ適切な監督を行うことも事業者の義務とされています。
漏えい等が発生した場合の対応
万が一、個人データの漏えい等が発生した場合には、被害を最小限に留めるため速やかに以下の対応が求められます。
- 事業者内部における報告および被害拡大防止
- 事実関係の調査および原因究明
- 影響範囲の特定
- 再発防止策の検討および実施
- 影響を受ける可能性のある本人への連絡
- 事実関係および再発防止策等の公表
個人情報保護法違反のリスク
個人情報保護法に違反した場合、企業には以下のリスクがあるため注意が必要です。
- 罰則: 不正な利益目的で第三者提供を行った場合、行為者だけでなく法人にも罰金刑が科される可能性があります(両罰規定)。
- 損害賠償責任: 不法行為に基づき、慰謝料などの損害賠償請求を受ける可能性があります。