ウェブ解析士が知っておきたい改正個人情報保護の基礎知識

2017年4月10日2019年10月25日

個人情報保護監査人・上級ウェブ解析士の仙田と申します。

突然ですが、あなたはお客様の個人情報をしっかり取り扱いできていますか？
今回は「ウェブに関わる人には知っておいて欲しい個人情報保護の基礎知識」をテーマにお話します。

個人情報保護監査人とは

個人情報保護の話をする前に、私が取得している資格「個人情報保護監査人」について説明します。

個人情報保護監査人とは、「個人情報保護マネージメントシステム（PMS）が、経営者の方針に沿い適切に構築・運用されているか」を経営者の代理人として監査する専門職です。社内を監査する内部監査、委託先を監査する第二者監査が、個人情報保護監査人の監査対象です。

個人情報とは

個人情報とは、生存する個人に関する情報であって、特定の個人を識別できるものを指します。例えば、氏名・住所・生年月日、顔写真、顔認証データ、指紋認証データ、マイナンバー、旅券番号、免許証番号などがそれにあたります。

個人情報を利用するには、OECD8原則、個人情報保護法およびそれに関連するガイドラインなど、みんなが安心して個人情報を利用するためにルールがあります。
その中の「個人情報保護法」は、個人情報をどこかへ仕舞い込んで利用させないルールではなく、完全性・可用性・機密性を担保しつつ、適正かつ効果的な活用をすることで、新たな産業の創出、並びに活力ある経済社会および豊かな生活を実現するために、みんなで共有しているルールなのです。

自動車を運転するには、標識や優先順位、速度制限、飲んだら乗らないなど、みんなが安心して道路を利用するために交通ルールがあるのと同じです。

改正された個人情報保護法が5月30日施行

いよいよ、改正された個人情報保護法（以下：保護法）が平成29年5月30日に施行されます。改訂以前の保護法では、個人情報の保有数が5,000件未満である事業者は対象外でしたが、次に施行される保護法では、「5,000人要件」が撤廃されますので、「全ての事業者」が保護法の対象になります。

つまり、法人に限定されず、営利・非営利の別は問わないのです。ですので、NPO、自治会・町内会、PTA、後援会、同窓会もその対象となり、もちろんフリーランスも法のルールに沿った個人情報の取り扱いが求められます。

ウェブ解析士がお客様から業務を受託するときの注意点

では、より実践に近い形で、お客様（クライアント）からウェブ業務を請け負う際の注意点を説明しましょう。

お客様から、「今後、もしかしたら御社にウェブ関連業務を個人情報保護法の関係で委託できなくなるかもしれません」と、申し出があったら、自社のPMS（Personal information protection Management Systems）が、お客様のPMSで定める新たな個人情報委託基準を下回ってしまったのかも知れません。

個人情報を含む業務委託は、少なからず組織の存続を脅かす個人情報漏洩リスクを抱えています。このリスクは年々高くなっていますから、お客様は社内だけでなく、委託先へ求める要求も高くなります。なぜなら、お客様は個人情報を出す委託先への監査が必要だからです。そして、委託先に対して第二者監査を行った結果、お客様の会社で定めているPMSを下回る場合、個人情報を含む業務をお願いするすることができなくなるからです。
（※つまり、お客様の会社等の「個人情報に対する取扱いのルール」と同等のレベル以上のルールが必要、ということです）

ウェブ関連の業務を受託するときの注意点は、お客様から見て安心して任せられる組織に、あなたの会社をしておくことです。具体的には、個人情報に関する社内グループを整え、そのグループが中心となって社内ルール（規定書・手順書）を作り、社内教育、社内ルールに沿った対策を行います。そして、内部監査・第二者監査を行い、年々高まるリスクに対応できるように、毎年PDCAを繰り返します。

ウェブに関連する業務を外部へ委託している場合の注意点

あなたの立場を委託側にして、もう少し突っ込んだ話をしていきましょう。

ウェブに関連した業務は、個人情報を利用するものがほとんどです。個人情報を含む業務を外部へ委託する場合は、あなたの会社と同等もしくは、それ以上のPMSを構築・運用ができている組織を委託先として選定しなくてはなりません。そして、第二者監査を繰り返し、委託が完了しても、個人情報の削除が確認できるまで、委託先を適切に監督することが義務化されています。

次に、その義務を怠ってしまい、その結果、大きな損害を被ることになった例を紹介します。