企業が求められる個人情報保護法への対応

個人情報保護法が2017年に改正されて2年半が経とうとしています。3年ごとの見直しが実施されようとしている2020年も目前まで迫ってきました。
当事務所でも、顧問弁護士となっている企業のために、情報保護法の改正について情報収集をしているところです。

もっとも、改正後の情報保護法についての対応も大切ですが、現段階での情報保護法についても対応していなければなりません。以下では、個人情報保護法が企業に課している義務を中心に解説いたします。

 

情報保護法が企業に課している義務

個人情報の管理に対する個々人の意識が高まっている中、企業としては最低限、法に定められた義務を確実に果たすことが求められています。

さらに、政府の基本方針では、事業者の保有する個人情報等について、その性質や利用方法等の実態に応じた適正な取扱いの実効性を確保するためには、この法律の定めるルールが各分野に共通する必要最小限のものであることを踏まえ、事業者の自主的な取組が進められることが、なお一層期待されるとしています。
単に法律に規定された最低限の義務を受動的に果たすだけでなく、各企業が能動的にプラスアルファの情報保護体制を備えていくことが求められているのです。

情報に対する権利意識の高まりの中、情報保護体制をしっかり整えているということは、企業価値を上げることつながっていくでしょう。

 

企業の対外的対応

個人情報保護法では、取得・利用時、保管時、第三者に渡す時、など各段階で個人情報の扱い方についての様々なルールがあります。
その中で、企業が対外的に行わなければならない事項にフォーカスして把握しておきます。

公表・通知

個人情報保護法では、事業者が公表または本人が容易に知り得る状態におかなければならない事項が定められています。

そのような事項は、特段の要求がある場合を除いて、企業のウェブページに掲載する方法で対応することができます。本人に対して通知を出す方法によっても対応可能ですが、事前にウェブページに掲載しておく方法が、漏れなく低コストで行う事ができますし、法改正に伴う訂正も比較的容易であるという点では優れています。詳細な項目は表(仮)の通りです。

委員会への届出

公表事項の中には委員会への提出が義務付けられている事項もあり、これらの届出事項を委員会は公表します。
提出事項にもなっているのは、表のうち以下の事項です。

・23条2項…オプトアウト方式で第三者提供する場合における通知

・23条3項…2項の2号、3号、5号に掲げる事項を変更する場合における通知

プライバシーポリシー

政府の基本方針は、法令上の義務ではありませんが「個人情報を取り扱う者において、それぞれの事業等の分野の実情に応じて、自律的に個人情報の保護に万全が期されることを期待している」とされており、その中で、事業者が個人情報保護を推進する上での考え方や方針を、対外的に明確化することを求めています。この考え方や方針は、「プライバシーポリシー」「プライバシーステートメント」と言われるものです。
厳密には、ポリシーは経営者が対内的に浸透させるべき経営の「方針」、ステートメントは対外的に個々の事業者が利害関係者に向けて公表すべき「宣言文」を指します。
基本方針の求める「対外的に明確化する」というのは「(ステートメント)宣言文として公表する」ことを求める趣旨です。

 

体制の整備

個人情報取扱事業者は「引き続き体制の整備等に積極的に取り組んでいくこと」が求められています。
現在、企業でよく見られるのは、個人情報保護の責任者としてCPOと同様の役割を果たす個人情報保護管理者を置く形態です。個人情報保護法が充実する前にも、コンプライアンスの担当の役員や部署を置いていた企業では、その業務の類似性からコンプライアンス担当に個人情報保護管理も兼任させるケースが多くみられます。

 

会社法と個人情報保護

コンプライアンス体制の整備

会社法362条に定められている取締役の権限の中には、4項6号に「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備」が挙げられています。
すなわち、取締役はコンプライアンスのための体制整備が義務づけられていると言えます。

また、会社法施行規則112条2項各号ではさらに詳しく対応する対象が定められています。

1号…会社の文書情報の管理

2号…損失の危険(会社経営のリスク)

3号…職務執行体制と経営管理

4号…使用人のコンプライアンス

また、取締役には会社の経営の管理者として善管注意義務があります。コンプライアンスのための適正な体制整備を怠ると、善管注意義務を果たしていないとして責任を問われることになります。

情報保護法とコンプライアンス

当然、個人情報保護法も、企業が遵守すべき法令に含まれますし、漏洩などのリスクも管理体制で対応すべきリスクに含まれます。
それなりの規模の企業で、既に情報管理の部門があるならば、担当役員や基本規程を包括的な制度の中に設置する措置を取れば足りるでしょう。
しかし、そのような規模にない中小・個人経営の会社においては、基本的な管理体制がおろそかになっており、一度の情報セキュリティ事故が命取りになりかねません。マネジメントシステムを構築して、法令順守体制・管理体制を整備していく必要があります。

 

マネジメントシステム

個人情報保護法成立前から個人情報保護に自主的に取り組んでいた個人情報取扱事業者は少なくありません。この流れの中で、その事業規模および活動に応じて「個人情報保護マネジメントシステム(PMS)」を取り入れている企業が多く見られます。

マネジメントシステムは、「PDCAサイクル」というという一連の流れを繰り返し、情報保護のレベルを継続的に向上させていく仕組みです。

PDCA

①P(Plan)…定めておいたポリシーのもとで計画を立案・策定

②D(Do)…策定した内容を実施・維持

③C(Check)…策定内容が計画通りに実施されているかを点検

④A(Action)…点検結果を踏まえ、不備な点が判明すれば改善していく

同様の手法は、ISOの認証取得の前提としても取り入れられており、9001(品質マネジメントシステム)、14001(環境マネジメントシステム)、27001(情報セキュリティマネジメントシステム)など、従前から多くの企業が利用していたJIS15001(個人情報保護)と組み合わせ審査が行われる規格にも採用されており、国際的に推奨され、標準化している手法と言えます。
実際、このようなマネジメントシステムを導入するにあたって、企業が行うべき具体的な措置を順番に書き出すと次のようになります。

マネジメントシステム構築の順番

①洗い出し
最初は、自社における個人情報の取扱いがどのような状況なのかを把握しなくてはなりません。
この際、洗い出した情報や取扱情報を台帳化しておくと、開示請求などの事前準備にもなります。

②調査・検討
洗い出された内容を、関係法令などの規定事項と照らし合わせ、現状が法令に適合しているかどうか検討します。

③ルール化
法令に適合していない取扱いは適合するように、その他についても取扱い方法を明確に決定し、内部規定に組み込んでルール化させます。

④定着
社内でルール化された規定について、啓発・周知活動などを行い、定着を図ります。

⑤定期改善
内部監査などにより、定期的に実施状況を点検し、必要であれば既定の見直し・改善を行います。

 

個人情報のライフサイクル

何事も、新しい制度の導入には大変な労力を要します。マネジメントシステムの導入も例外ではありません。
中でも、初めの洗い出しの段階には多くの労力を注がなくてはならないでしょう。どの部署で、どの段階の情報を、どのように扱っているか調べるのは非常に煩雑な作業になります。

そこで活用したいのが、「個人情報のライフサイクル」に沿った流れ図です。ライフサイクルという名称の通り、情報に触れる初段階である「取得」からその情報を「消去」するまでを各段階で区切ります。その各段階において、現状と負うべき責任、想定されるリスクについて明確化し、それ以降のマネジメントを進めていくという手順を踏みます。

ライフサイクルの手順

①取得

・情報の種類について

✓要配慮個人情報

→取得には原則、本人の同意が必要

✓特定個人情報

→法定された場合に限って取得可能

・利用目的について

✓社内で必要な利用目的を整理

→事後的な利用目的の変更は事実上困難を極めるので、事前に抜け漏れが無いように設定する。

✓利用している情報取得経路を確認

✓取得経路ごとに、顧客に対し、あらかじめ利用目的を明示できているか確認

→本人に事前に利用目的を明示しなくてはならない取得方法と、ウェブページなどでの公表で足りる方法があるので、確認する。

・取得フォームについて

✓ウェブページでの利用目的の明示が適切になされているか確認

✓適切な取得であることを示す文書やデータは保管されているか確認

→後のために、保管して残しておく必要がある。社内で文書保管体制を整える。

✓通信中に情報漏洩が起きないように安全管理措置はとられているか確認

→SSLなど暗号送信が利用できる仕組みが必要。

・第三者提供について

✓取得状況に応じて必要な記録が残されているか確認

②利用・保管

・利用目的について

✓明示した目的の範囲内で利用されているかの確認

→企業内部で、目的の範囲を必要に応じて参照できるようにしておく。

・開示請求について

✓データの保管場所の把握

→どのようなデータが、どこに保管されているかを把握し、整理されていない場合は保管方法についてルール化を図る。

✓請求受付体制の確認

→受付方法・本人確認の方法について決めておくことが必要。また、申請書式や回答書式も用意しておくことで混乱がない。

・委託

✓委託先の選定方法の精査

✓委託先に対する監督義務は果たせているかの確認

→契約条項を見直し、契約が遵守されているかを点検する方法を明確にする。

③提供

・提供方法について

✓提供方法が適切か検討する

→第三者提供・オプトアウト・共同利用などさまざまな可能性を検討する。

✓第三者提供

→顧客から同意を得る方法を選択し、実行できるように整備する。

✓提供方法に基づいて必要な手順を踏んでいるか確認

→公表・委員会への届出・記録作成などを把握して、対応する。

④消去

・消去時期について

✓利用目的に照らして消去時期が適切か確認

✓法定保存期間に照らして消去してよいか確認

・消去方法について

✓復元困難な方法を用いることができているか確認

→「特定個人情報の適正な取扱いに関するガイドライン」などを参考にルール化する。

実際には業種や事業規模に応じてさらに細かく煩雑なチェックが必要になりますが、このような手順で洗い出しを行い、検討、ルール化された取扱い計画を実行していくことになります。実行と同時に、社内での周知・啓発を行い、社員にルールを定着させることも重要です。

そして、サイクルの最終段階として定期的に、または見直しの必要がある際に点検を行います。点検作業を行う内部監査部門は、独立性の保たれた機関である必要があります。
以上のようなサイクルを止めることなく繰り返していくことにより、常に鮮度と精度の高い情報保護を行うことが可能になります。

 

個人情報保護の役割

ここまで述べてきた通り、個人情報保護の仕組みを確立するには、それなりの労力を要します。また、それに伴って投資も必要になる可能性は往々にして考えられます。しかし、今後、企業はこれを避けて通れない状況であることも事実です。
日本経団連「企業行動憲章」は、「情報化社会における個人情報や顧客情報の適正な保護」を新たな課題として位置づけ、事業活動全般を通じて個人情報を適切に管理することは信頼構築の基本であるとしています。

今や、セキュリティレベルはその企業のブランドを構築する一要素となっています。個人情報保護法という法律を遵守していくことに対し、単に『手間が増えて面倒だ』と捉えるのではなく、法の趣旨や社会の流れ、顧客の意識の流れを感じ取り、法が要求する以上の措置までも積極的に行う企業になることができれば、企業価値はおのずと向上するでしょう。