掲載希望の方 オフィスのミカタとは
従業員の働きがい向上に務める皆様のための完全無料で使える
総務・人事・経理・管理部/バックオフィス業界専門メディア「オフィスのミカタ」

個人(顧客)情報の守り方【弁護士が解説!企業の守り方 vol.2】

ビジネスには、リスクがつきものです。そのため企業の法務担当者は、企業の事業活動のどこに、どのようなリスクがあるのかを把握し、リスクへの対策を講じる必要があります。

このコラムでは、AI契約審査プラットフォーム「LegalForce」、AI契約管理システム「LegalForceキャビネ」を提供するLegalOn Technologiesの柄澤愛子弁護士が、企業が直面しやすいリスクとその対策を解説します。

第2回は「個人(顧客)情報の守り方」です。個人情報は、氏名や性別、生年月日、住所など個人を特定できるものであり、個人の権利や利益を守るために慎重に取り扱う必要があります。

企業は顧客情報などの個人情報を取り扱うことも多いですが、企業が個人情報の漏えいや不正利用をしてしまうと、個人情報保護法などの法令違反となってしまうリスクや企業の評判が大きく低下するリスクがあります。

企業における個人(顧客)情報の漏えい、不正利用リスクとその対策を解説します。

個人情報漏えい・不正利用の事例

早速、事例を紹介していきましょう。

① 顧客への私的な連絡
大手通信会社の代理店に勤める男性は、業務委託を受けるなかで知った著名人の連絡先に、営業電話をかけた。その後、著名人のSNSアカウント宛に、私的な内容のダイレクトメッセージ(DM)を送信した。著名人側が、個人情報が利用されたという主旨の動画を公開し、通信会社側が謝罪した。

② 顧客情報の流出
大手通信教育企業の業務委託先社員が、顧客情報を不正に取得。約3500万件の情報を名簿業者3社に売却していた。警視庁は不正競争防止法の容疑で、業務委託先職員を逮捕した。顧客からの問い合わせがきっかけで発覚し、賠償訴訟に発展。顧客らが複数の集団訴訟を各地で起こし、原告は1万人以上にのぼった。

③ 塾の教え子の情報をSNSのグループチャットに投稿
大手中学受験塾の講師が、教え子の女子児童を盗撮した画像などを、住所や名前、保護者の携帯電話番号とともにSNSのグループチャットに投稿。グループチャットには女児に興味がある人物らが参加していた。この講師は正規に付与されたアクセス権限で、データベースにアクセスし、個人情報を取得していた。警視庁は男と塾を運営する法人を個人情報保護法違反容疑で立件した。

個人情報漏えい・不正利用のリスクの増加

上記で紹介した事例のような、従業員などによる個人情報の不正持ち出しや盗難が急増しているというデータがあります。

東京商工リサーチの調査によると、2023年の情報漏えい・紛失事故の175件のうち、原因別では「ウイルス感染・不正アクセス」の93件(構成比53.1%)が最多で、半数以上を占めました。次いで「誤表示・誤送信」が43件(同24.5%)で、メール送信やシステムの設定ミスなどの原因も多いことが分かりました。

一方で、情報の不正な持ち出しや盗難により情報漏えいした「不正持ち出し・盗難」が24件(同13.7%)で、前年の5件から約5倍に増加したといいます。

東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査より

また、紹介事例のような、従業員などによる個人情報の不正利用も増えています。

背景には、インターネットの進化により、データ化された大量の個人情報の取得が容易になったことがあります。データが扱いやすいということは、個人情報の流出も容易になっているということでもあるでしょう。実際に、SNSの普及も手伝って個人情報の不正利用をする機会は増加。しかも、不正利用を管理しようにも、テレワークの普及もあって、企業が完全に情報管理を行うことはかなり困難なのです。

これだけ個人情報の漏洩リスクが高まるからこそ、一人ひとりの個人情報の重要性に対する意識は高まり、世界的に個人情報保護規制が進むことにもなりました。

だからこそ、企業が個人情報を適切に取り扱うことは、必須の課題なのです。 

個人情報を保護する法律「個人情報保護法」

企業が事業を行うときには個人情報を取得し活用することが必要な場面があるのは皆様もご存じの通りで、個人情報の利用によってサービス向上が叶うケースもあります。だからこそ個人のプライバシーを保護するため、適切な利用と個人のプライバシー保護のバランスをとるために、「個人情報保護法」という法律が制定されています。

個人情報とは

個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。例えば、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。

以下のようなデータも個人情報にあたります。

・顔が判別できる防犯カメラの映像
・連続されて取得されたもので、特定の個人の識別できるような位置情報
・顔認証データや指紋認証データ
・パスポート番号
・運転免許番号
・マイナンバー
・健康診断の結果

*信条、病歴、健康診断の結果などは、個人情報のうち、特に取扱いに気を付けるべき「要配慮個人情報」にあたり、取扱いにつきより厳しい規制がされています。

政府広報オンライン「「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?」より

個人情報を取り扱う際の基本ルール

個人情報を取り扱う際の基本ルールとして、一部を紹介します。

① 個人情報を取得・利用するとき
個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。個人情報の利用目的は、あらかじめホームページなどにより公表するか、本人に知らせなければなりません。そして、その目的の範囲内で利用しなければいけません。

② 個人データを保管・管理するとき
個人データの漏えいなどが生じないように、安全に管理するために必要な措置を講じなければなりません。例えば、個人情報取扱規程の制定、個人情報取扱責任者の設置、個人データへのアクセス制限、不正アクセス防止のためのセキュリティー対策ソフトウェアの導入、などが考えられます(安全管理措置について、詳細は「個人情報の保護に関する法律についてのガイドライン(通則編)」10(別添)講ずべき安全管理措置の内容、を参照ください)。

③ 個人データを第三者に提供するとき
個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。

④ 本人から保有個人データの開示などを求められたとき
本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。

政府広報オンライン「「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?」

個人情報保護法に違反した場合の罰則

個人情報の漏えい・不正利用があると、個人情報保護法違反となり、罰則を科される可能性があります。

例えば、企業の従業員や元従業員が、不正な利益を得る目的で個人情報データを持ち出して提供などしたときは、その従業員や元従業員には1年以下の懲役または50万円以下の罰金が科されるとともに、企業の業務に関してその違反行為が行われたときは、企業にも1億円以下の罰金が科される可能性があります。

個人情報保護法の改正
2022年4月から「改正個人情報保護法」が施行され、個人の権利保護が強化され、事業者の責任も重く、また違反の際の罰則も厳しくなりました。個人情報保護委員会の措置命令に違反した場合、個人情報保護法に求められた報告をしない場合・虚偽の報告をした場合の罰則が重くなりました。

個人情報漏えいを防ぐために実施するべきこと

情報管理研修を実施する
個人情報を扱う可能性がある従業員全員に対し、情報管理研修を実施することが有効です。
個人情報の漏えい・不正利用が、誰にでも起こりうる身近な問題であることを意識してもらうとともに、個人情報の漏えい・不正利用があると、元の状態に戻すことは不可能であり、企業活動にも深刻な影響があることを理解してもらうことが重要です。

個人情報管理台帳の作成
個人情報管理台帳とは、個人情報を管理するために利用目的や保管場所などをまとめた台帳のことです。個人情報管理台帳を作成することは、企業における個人情報の取り扱い状況を把握するうえで重要です。

個人情報保護に関する規格「Pマーク(プライバシーマーク)」でも作成と更新が義務付けられています。

SNS利用に関する注意喚起
手軽に使えるSNSだからこそ、マニュアルなどを定めて利用に関する注意喚起を行うことが重要です。多くの人が利用するSNSで個人情報が漏えいすると瞬く間に拡散する可能性があり、注意が必要です。

従業員・顧客の個人情報をはじめ企業の機密情報をSNSで発信しないことなどを定めたマニュアルなどを策定するのが有効です。

また、SNS利用に関する研修を実施することも考えられます。
従業員個人個人のSNS利用ももちろん、企業の公式SNSなどでも、担当者の理解不足により情報を漏えいしてしまう場合がありますので、注意しましょう。

実効性のある取り組みが肝心

報道によると事例③のケースでは、逮捕された男が「セキュリティー研修をまじめに視聴していなかった」と話しているとされます。

個人情報の保護をめぐっては、従業員にコンプライアンス意識をつけてもらうために情報管理研修などの研修が重要な手段の一つですが、研修をただ実施するだけではなくて従業員にしっかりと聞いてもらうための手段、研修後のテストの実施、オフラインでの研修の実施なども検討してほしいです。

また、従業員が意図的に情報を持ち出すケースもあり、「個人情報を取り扱う際の基本ルール」の②で述べた安全管理措置をしっかりと構築しておくことが大前提として重要です。

個人情報保護への意識が乏しい従業員が1人でもいると、企業にとって深刻な個人情報の漏えい・不正利用事故を起こしてしまう可能性があります。

企業としては、そもそも個人情報の漏えい・不正利用がしにくい体制を構築するとともに、従業員への啓発活動を根気強く行っていただきたいです。