ウェブ解析士が知っておきたい改正個人情報保護の基礎知識

個人情報保護監査人・上級ウェブ解析士の仙田と申します。

突然ですが、あなたはお客様の個人情報をしっかり取り扱いできていますか?
今回は「ウェブに関わる人には知っておいて欲しい個人情報保護の基礎知識」をテーマにお話します。

個人情報保護監査人とは

個人情報保護の話をする前に、私が取得している資格「個人情報保護監査人」について説明します。

個人情報保護監査人とは、「個人情報保護マネージメントシステム(PMS)が、経営者の方針に沿い適切に構築・運用されているか」を経営者の代理人として監査する専門職です。社内を監査する内部監査、委託先を監査する第二者監査が、個人情報保護監査人の監査対象です。

個人情報とは

個人情報とは、生存する個人に関する情報であって、特定の個人を識別できるものを指します。例えば、氏名・住所・生年月日、顔写真、顔認証データ、指紋認証データ、マイナンバー、旅券番号、免許証番号などがそれにあたります。

個人情報を利用するには、OECD8原則、個人情報保護法およびそれに関連するガイドラインなど、みんなが安心して個人情報を利用するためにルールがあります。
その中の「個人情報保護法」は、個人情報をどこかへ仕舞い込んで利用させないルールではなく、完全性・可用性・機密性を担保しつつ、適正かつ効果的な活用をすることで、新たな産業の創出、並びに活力ある経済社会および豊かな生活を実現するために、みんなで共有しているルールなのです。

自動車を運転するには、標識や優先順位、速度制限、飲んだら乗らないなど、みんなが安心して道路を利用するために交通ルールがあるのと同じです。

改正された個人情報保護法が5月30日施行

いよいよ、改正された個人情報保護法(以下:保護法)が平成29年5月30日に施行されます。改訂以前の保護法では、個人情報の保有数が5,000件未満である事業者は対象外でしたが、次に施行される保護法では、「5,000人要件」が撤廃されますので、「全ての事業者」が保護法の対象になります。

つまり、法人に限定されず、営利・非営利の別は問わないのです。ですので、NPO、自治会・町内会、PTA、後援会、同窓会もその対象となり、もちろんフリーランスも法のルールに沿った個人情報の取り扱いが求められます。

ウェブ解析士がお客様から業務を受託するときの注意点

では、より実践に近い形で、お客様(クライアント)からウェブ業務を請け負う際の注意点を説明しましょう。

お客様から、「今後、もしかしたら御社にウェブ関連業務を個人情報保護法の関係で委託できなくなるかもしれません」と、申し出があったら、自社のPMS(Personal information protection Management Systems)が、お客様のPMSで定める新たな個人情報委託基準を下回ってしまったのかも知れません。

個人情報を含む業務委託は、少なからず組織の存続を脅かす個人情報漏洩リスクを抱えています。このリスクは年々高くなっていますから、お客様は社内だけでなく、委託先へ求める要求も高くなります。なぜなら、お客様は個人情報を出す委託先への監査が必要だからです。そして、委託先に対して第二者監査を行った結果、お客様の会社で定めているPMSを下回る場合、個人情報を含む業務をお願いするすることができなくなるからです。
(※つまり、お客様の会社等の「個人情報に対する取扱いのルール」と同等のレベル以上のルールが必要、ということです)

ウェブ関連の業務を受託するときの注意点は、お客様から見て安心して任せられる組織に、あなたの会社をしておくことです。具体的には、個人情報に関する社内グループを整え、そのグループが中心となって社内ルール(規定書・手順書)を作り、社内教育、社内ルールに沿った対策を行います。そして、内部監査・第二者監査を行い、年々高まるリスクに対応できるように、毎年PDCAを繰り返します。

ウェブに関連する業務を外部へ委託している場合の注意点

あなたの立場を委託側にして、もう少し突っ込んだ話をしていきましょう。

ウェブに関連した業務は、個人情報を利用するものがほとんどです。個人情報を含む業務を外部へ委託する場合は、あなたの会社と同等もしくは、それ以上のPMSを構築・運用ができている組織を委託先として選定しなくてはなりません。そして、第二者監査を繰り返し、委託が完了しても、個人情報の削除が確認できるまで、委託先を適切に監督することが義務化されています。

次に、その義務を怠ってしまい、その結果、大きな損害を被ることになった例を紹介します。

個人情報を流出させてしまうと

ある教育関連企業が起こした個人情報漏洩事件の漏洩人数は約2800万人でした。実際に漏洩事件を起こしたのは業務を委託した先の会社でしたが、委託先が起こした漏洩事件の補償準備金として、委託元である教育関連企業は200億円が必要でした。

委託先の選定を誤ったのと、委託後の監督を怠ったことが原因で、この企業は顧客の信頼を大きく損なったうえに、大きな代償を払うことになりました。

一旦個人情報漏洩事故を起こせば、刑事罰、民事罰を受け、社会的信用を失います。法に触れているだけでなく、働く従業者やその家族の生活を脅かします。そうならないためには、社内でルールを作り、漏洩対策を行い、社員教育を繰り返し行うことで、漏洩事故をゼロにはできませんが、そのリスクを大幅に減らせます。

まとめ

私たちは、多くの場合、個人情報を利用しながら、経済活動を行っています。他人に知られたくない情報は、多かれ少なかれ誰にでもあります。私の個人情報を第三者に漏洩された場合、賠償金を請求するでしょう。ですから、情報の管理に無頓着な組織には、大切なお客様の個人情報を私は提供したくありません。

ウェブ解析士は、自社やお客様の発展に寄与する使命を担っていらっしゃいます。その一方で、他人の個人情報を利用させてもらう立場でもあるので、法で定められたルール、組織で定めたルールを守って頂きたいと思います。

では、具体的にどこから手をつければ良いのか?
私にご相談頂けば、組織に蔓延る(はびこる)リスクを限りなくゼロに近くなるまで減らし、安心して個人情報を扱える体制をお作り致します。また、個人情報に関する社内研修も承っておりますので、是非ご相談ください。

仙田 利夫さんの他の記事

仙田 利夫
IoT時代の個人情報保護対策。具体的にどこから手をつければ良いのか?私にご相談頂けば、組織に蔓延る(はびこる)リスクを限りなくゼロに近くなるまで減らし、安心して個人情報を扱える体制をお作り致します。また、社内研修も承っておりますので、是非ご相談ください。