個人情報漏洩による企業のリスク

被害例
• 社員が保有する個人データが入ったパソコンを紛失。(メーカー)
• 派遣社員が顧客データ4万人分を持ち出す。(自動車メーカー)
• 個人情報(銀行振込データ・講座振込通知データ・健康診断データ)の入ったパソコン盗難。(市役所)
• 62万人分の顧客データ流出。社員が社内から情報を抽出し、名簿斡旋業者へ売却。(旅行業者)
• クレジット利用者情報流出。(インターネット通信)
• HIV検査結果や診査票をシュレッダーにかけずゴミ箱に。(産婦人科)
• 車上荒らしで、保険会社社員が個人情報入りデータディスク盗難。(保険会社)
• 保険加入者データの入ったパソコン盗難。(損害保険代理店)

中古パソコンは盗難の対象になっている。中古市場の確立。
個人情報は売却できる時代。(ライバル企業が欲しがる)

個人情報漏洩が発生すると、企業のダメージは多大です。

ex.会員データ4万件流出の場合(予測)

謝罪費用：1人当たり1,000円

40,000,000円(4,000万円)

賠償費用：1人当たり5,000円

200,000,000円(2億円)

• マスコミ報道による信用の低下・・・
• 株価の低下・・・
• 損害賠償請求・・・
• 取引停止・・・
• 代理店資格喪失・・・
• 「お詫び」の挨拶状印刷、郵送代・・・

個人情報保護法の重要ポイント

1.個人情報保護法の概略

2.個人情報取扱事業者の義務

利用目的の特定

利用目的の特定にあたっては、個人情報事業者において最終的にどのような目的で個人情報を利用するかを特定する必要がある。
例)○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。

適切な取得

偽り、その他不正手段により個人情報を取得してはならない。

利用目的による制限

予め本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

取得に際しての利用目的の通知等

個人情報を取得した場合は、予めその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表しなければならない。利用目的を変更した場合も同様。

本人に通知または公表が必要な事例

インターネット上で本人が自発的に公にしている個人情報を取得する場合。

インターネット、官報、職員録等から個人情報を取得する場合。

電話による問い合わせやクレームのように、本人より自発的に提供される個人情報を取得する場合。

個人情報の第三者提供を受ける場合。

データ内容の正確性の確保

安全管理措置

個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又は棄損の防止、その他の個人データの安全管理のために、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。

従業員の監督

安全管理措置を遵守させるように従業員に対して必要かつ適切な監督をしなければならない。「従業員」とは、正社員、契約社員、パート社員、アルバイト社員、取締役、執行約、理事、監査役、監事、派遣社員も含まれる。

委託先の監督

【個人データの取扱を委託する場合に契約書への記載が望まれる事項】

委託者及び受託者の責任の明確化

個人データの安全管理に関する事項

個人データの漏洩防止、盗難禁止に関する事項

委託契約範囲外の加工、利用の禁止

委託契約範囲外の複写、複製の禁止

委託契約期間

委託契約終了後の個人データの変換・消去・廃棄に関する事項

再委託に関する事項

再委託を行うに当たっての委託者への文書による報告

個人データの取扱状況に関する委託者への報告の内容及び頻度(例えば、情報セキュリティ監査なども含まれる)

契約内容が遵守されていなかった場合の措置

セキュリティ事件、事故が発生した場合の報告・連絡に関する事項

第三者への提供

予め本人の同意を得ないで、個人データを第三者に提供してはならない。

個人情報保護法対策

企業を危機にさらさないために、対策が必要です。
企業が責務を怠った場合には、6ヵ月以下の懲役又は30万円以下の罰金。

個人情報保護管理者及び対応組織の設置

事業者の内部における責任体制を確保するための仕組みを整備する。

個人データ取扱に関する各部署の役割と責任の明確化。

漏洩時における情報集約体制の構築。

プライバシーポリシーの策定・公表

所属している業界のガイドラインやホームページで掲載されている、他社のプライバシーポリシーを参考に策定し、社員への教育による周知、自社ホームページ掲載による社外的公表管理ルール(社内規則・ガイドライン)と責任の明確化。

個人情報を取り扱う常務社内調査

収集、利用、提供、保管、廃棄の流れに沿ってフローチャートの作成。

1. 個人情報の種類と名前
2. 管理担当部署
3. 保管場所
4. 使用されているネットワーク
5. 通信手段
6. 目的
7. 情報をやり取りする相手

従業員への教育

1. 個人情報取扱に関する社内規則・罰則について年1回以上、全社員に対する教育。
2. 個人情報漏洩事件を想定した緊急対応訓練の実施。
3. 正社員、派遣社員等に対する雇用契約内容の整備(機密文章の取扱い、守秘義務)
4. 入社時の機密文章の取扱い、守秘義務等、就業規則・プライバシーポリシー教育の徹底。
   ※従業員(正社員、契約社員、パート社員、アルバイト社員、取締役、執行役、理事、監査役、監事、派遣社員)

委託先への教育

個人情報の取扱いを第三者に全部又は一部を委託している場合には、委託先に対して契約内容の見直しと責任の明確化、セキュリティ教育の確認、再委託先の有無と各々の責任、個人情報取扱状況の確認など監督の徹底。

プライバシーマークの取得

事業者の信頼向上に大きく寄与。
(認定にはサーバールームや情報保管場所への入退出管理が必要)

セキュリティ対策

情報への不正アクセス・個人情報の紛失・破壊・改ざん・漏洩への対策

施錠管理

キャビネット、机の施錠の徹底

鍵の保管の厳密化

鍵管理責任者の設定

鍵管理規定の設定

アクセス制限

アクセス権限の設定

顧客データへのアクセス許可人数の最少化

共有フォルダへのアクセス制限

データの利用時間の制限(休日、夜間の使用不可など)

パスワード設定

システム上での定期的なパスワードの強制変更

離籍時のパスワード付スクリーンセイバー等の起動など

異動、退職に対する速やかなアクセス権限の削除

作業監視

個人情報取扱サーバーからの電子メール、メディアへのダウンロードの禁止

作業監視用カメラによる記録保管

不正ソフトウェア対策

ウィルス対策ソフトの導入

OS等に対するセキュリティパッチの適用

新規ウィルス情報ファイルの更新確認

収集時、通信時、移送時の対策

インターネット経由での個人情報収集時SSL等で通信を暗号化

メディア(CD・MO等)内、個人情報データの暗号化

建物内・部屋内に不審者を「入らせない」事が重要です。

入退出管理の徹底により機密保持。