もうすぐ個人情報保護法が全面施行される。同法への対応を完了した企業は多いだろう。しかしながら万全を期すためには,対応が実効的なものになっているかどうかを改めて確認したほうがよいだろう。そこで今回の記事では「最終確認のすすめ」と題して,同法に関するチェックリストを書き出してみた。基本的な内容もいくつか含んでいるが,最終確認の参考にしてほしい。
「自分たちは無関係」と思ってませんか?
まずは,「自分たちは個人情報保護法の対象にならないから大丈夫」と油断していないかどうかをチェックしたい。同法の対象となるのは,5000件以上の個人情報を保有する「個人情報取扱事業者」だが,個人情報取扱事業者から仕事を委託されている場合には,無関係ではいられない。
個人情報取扱事業者には,委託先の監督義務が課せられる。このため,たとえ自分たちが個人情報保護法の対象にならなくても,同法への対応をきちんと完了していないと,委託先として事業を継続することは困難になるだろう。
個人情報の特定は完了していますか?
個人情報取扱事業者に該当する企業では,自ら収集している個人情報の存在とその目的を把握しているかどうかを確認する。また,情報主体への通知が実践できているかどうかも確認する必要がある。具体的には,以下の項目が実践できているかどうかを確認する必要があるだろう。
(1)保有する個人情報の一覧あるいは台帳が存在し,各個人情報の管理責任者が定められている
(2)個人情報保護方針と収集する個人情報の利用目的が情報主体に対して具体的に通知あるいは公表できている
(3)情報主体が個人情報の開示,訂正,削除等を希望したときの連絡先を明確に提示できている
個人情報保護の体制が確立していますか?
個人情報保護のための社内ルールを作っただけでは実効性はない。企業のトップの考え方や個人情報の取り扱いに関するルールは,それを浸透させるための体制を構築し,教育/訓練によって従業者全員に周知して初めて意味がある。
そのような体制が整っているかどうかを,以下の項目で確認したい。
(1)個人情報に関する規定や手順書によって,個人情報を利用する際に実践しなければならない手続きが具体的に記述されている
(ア)規定や手順書の存在を関係する従業者が知らなければならない
(イ)特に,個人情報収集の現場にいる従業者には手順の意味を十分に理解させる必要がある
(2)個人情報の漏洩といった問題が発生した際の報告ルートが,個人情報を取り扱うすべての職場において明確になっている
(3)問題が発生した場合,その問題を解決するための責任者が明確になっている
個人情報にかかわる業務フローは確認できていますか?
個人情報保護のためには,個人情報にかかわる業務フローを特定し,その業務中のリスクを洗い出すとともに,そのリスクに対応した管理策を適用する必要がある。どういった業務フローが個人情報にかかわるのか,どういった管理策を適用する必要があるのか,どういったリスクが内在するのか――代表的な例を以下にまとめてみた。
(1)個人情報の移動には下記のようなリスクが伴う。このため担当者は,作業手順の詳細をあらかじめ確認しておく必要がある。
(ア)データの搬送,通信に伴う,盗難・紛失
(イ)データ加工の過程で生成される中間データの放置
(ウ)担当者のPC上に保存される複写データの保持
(2)個人情報を含む業務を委託された場合には,委託元からの監督を受けることになる。また,自らが委託元となる場合には,当該業務に対して委託先の企業を監督する義務が生じる。
(ア)委託先であれば,事業を継続的に発展させるために,委託元に対して個人情報の安全性確保のための対策と,その実効性を提示できることが求められる
(イ)委託元であれば,業務委託に関する契約において,個人情報の取り扱いや監督を可能とする旨を,委託先との間で明確にしておく必要がある
(ウ)委託元であれば,業務の再委託について,その可否や再委託に関する条件を契約等において明確にしておく必要がある
(3)不要となった個人情報については,安全に廃棄する必要がある。そのためには,下記項目を確認しておくことが重要である。
(ア)保管期限の切れた電子データの削除や文書の廃棄を安全確実に実行できる方法(溶解・焼却・裁断など)の確認
(イ)委託先へ渡したデータの返却,あるいは廃棄の確認
(ウ)使用期間が過ぎた情報機器や媒体の廃棄や返却における,内部残存情報の確実な消去
情報主体の要求に応える体制は整えていますか?
個人情報保護法では,個人情報の収集時にその利用目的を通知あるいは公表しなければならない。加えて収集時以外でも,情報主体からの要求に対して,保有する情報の開示や削除,訂正をする必要がある。そこで,このための体制,仕組みを整えておく必要がある。
情報主体への対応において注意すべきは,本人確認はとても難しいということである。利便性のみを考慮して手続きを安易にしてしまうと,個人情報の漏洩につながる可能性がある。本人確認で留意すべき点を以下に示す。
(ア)要求者が情報主体(場合によっては代理人)であることを確認できなくてはならない
(イ)情報収集の時点で本人確認の方法を確認しておかないと,収集情報の不足から本人確認ができなくなる恐れがある
(ウ) センシティブな個人情報に関係する場合には,顔写真入りの証明書の提示を対面で求める必要もある
以上,個人情報保護法へ対応する際に注意すべき点をざっとリストアップしてみた。全面施行まであとわずか。最終確認に本記事を役立てていただければ幸いである。
東山 栄一 (HIGASHIYAMA Eiichi) 
NECソフト株式会社 コンサルティング事業部
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
