個人情報保護法のルール②~個人データの管理・漏洩時対応の必要最低限度とは~
はじめに
こんにちは!CGチームインターン生です!
個人情報の安全管理や漏洩時の対応について、「何となく法律上対応しなければいけないということはわかっているけれど、何をしたらいいのか具体的によくわかってない…」という方が多いのではないでしょうか。
今回の記事では、100人以下の企業は最低限これだけやっておけばOK!というルールをご紹介します。
前提:個人データのみが対象
今回紹介する安全管理・漏洩に関しての個人情報保護法上のルールは、個人データのみが対象です。
(下図の青い○の中に属するもの)
もちろん個人データでない個人情報についても、個人データと同程度の安全管理措置を徹底し、漏洩の際には公表・プレスリリースを行うことができます。むしろそのような対応まで行っているほうが遵法意識が高く、コンプライアンスも徹底していると評価されると思います。
しかし、中小企業、特にシード・アーリー期のスタートアップ企業ではそこまで手が回らないこともあるでしょう。
その場合は、以下に記載している最低限度のルールを守ればOKです。
安全管理の方法
原則
個人データの安全管理のため必要かつ適切な措置を講じる。
従業者・委託先を監督し、安全管理が図る。
従業員の数が100人以下の場合は、以下のように安全管理措置としてとらなければならない手段の程度が一定程度軽減されます。
中小企業・スタートアップ企業が最低限しておくべき措置
①従業員が複数いる場合には、個人データを取り扱う責任を有する従業員とその他を区別する。
②情報漏洩が起こった際の責任者への報告連絡体制を事前にマニュアル化しておく。定期点検を行う。
③個人データの取扱ルールを作る
④①の責任者が③のルールが守られているか確認・記録する
⑤個人データ取扱いに関する従業員の研修・取扱ルールを就業規則に盛り込む。
⑥個人データを取り扱うエリアと取り扱わないエリアを物理的に区切る
(往来が少ない場所で個人データを取り扱う・離席時のPCのロック・PCを社内に放置しない等の対応でもよい)
⑦盗難・紛失防止策をとる
⑧持ち運びをする場合、紛失・盗難の防止策を講じる
⑨廃棄は復元不可能な手段で。責任者がそれを確認。
⑩取扱責任者のみがアクセス可能な体制をつくる
⑪パスワードがないとPC等を取り扱えないようにして、担当者を識別する
⑫セキュリティソフトを最新情報に保つ
⑬個人データファイルを送信等する場合にはパスワードを設定
個人データの漏洩
原則
個人データの漏洩等(漏洩・滅失・毀損)が発覚した場合、以下の情報については個人情報保護委員会に報告する。
①要配慮個人情報
②財産的損害のおそれ
③不正の目的によるおそれ
④本人の数が1000件を超えるおそれ
以上の個人データが漏洩した場合には個人情報保護委員会への報告・本人通知が必要です。
一般の事業者の場合、以下のフォームより個人情報保護委員会に報告することができます。
おわりに
個人情報保護法上の規定だけ見ても、じゃあ具体的にどうしたらいいの?とわからないのが正直なところです。
是非この記事を参考に、最低限の安全管理措置だけでも実施してみてください。
この記事が気に入ったらサポートをしてみませんか?