ニュースリリース
個人情報保護を徹底ください(経済産業省が日商など5団体に要請)
東京商工会議所
経済産業省は、ベネッセコーポレーションの個人情報漏えい事件を受け、8月15日付で日本商工会議所など経済5団体に対して、「個人情報保護法などの遵守に関する周知徹底についての要請」する茂木敏充大臣名(当時)の文書を送付し、会員企業に周知徹底するよう求めました。
文書では、会員各社に対し、社内の安全管理措置、委託先およびその先に関与する事業者の監督、外部からの適正な個人情報の取得を含めた個人情報保護法などの遵守を要請。特に、経営者が率先して、個人情報の管理体制を構築し、役員クラスの責任者への任命や、個人情報を取り扱う専門部署の設置などの体制強化、委託先や再委託先、さらにその先の再々委託先についても安全管理措置の実施が十分かを確認することなども求めています。(要請内容の詳細は以下ご参照ください)
個人情報保護法等の遵守に関する周知徹底についての要請(茂木経産相から日商・三村会頭宛の要請文<平成26年8月18日付>)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報保護法に基づき、個人情報を取り扱う全ての事業者にとっての極めて重要な義務として、その適正な取り扱いが求められてきました。国民の信頼を得て事業を行うためにも、個人情報保護法を遵守し、万全な対応を取る責任を有していることは言うまでもありません。
今般、教育関係事業者において、子供の情報を含む極めて多数の個人情報が漏えいするという事案が発生し、多くの保護者や国民に不安を与えていることは誠に遺憾です。経済産業省としては、今般の事案を踏まえ、個人情報の取り扱いをめぐる問題の再発防止に向けて、個人情報保護の重要性と事業者が講ず
るべき具体的な措置についての周知徹底に一層取り組むこととしております。
産業界の個人情報保護の取り組みの向上に向けて、経済産業省としては、経済産業分野の事業者および業界団体などにおける個人情報保護のための円滑な取り組みを促す観点から、個人情報保護法で規定された事業者の義務規定をより具体化・詳細化した「個人情報の保護に関する法律についての経済産業分野
を対象とするガイドライン」を策定しております。また、個人情報を含む営業秘密については、企業における営業秘密の管理強化に資するよう、「営業秘密管理指針」を公表しております。この他、独立行政
法人情報処理推進機構(IPA)では、個人情報や技術情報などの重要情報について、特に組織の内部関係者の不正行為による情報漏えいを防止するため、「組織における内部不正防止ガイドライン」を策定しております。
つきましては、貴団体におかれましては、会員各社に対し、別紙により、社内の安全管理措置、委託先およびその先に関与する事業者の監督、外部からの適正な個人情報の取得を含めた個人情報保護法の遵守に関し、現場担当者に止まらず、社内全体、委託先事業者などに、万全を期することについて、周知徹底を図っていただくよう要請いたします。
-----------------------------------------------------------
下記1、2に基づき、貴社および委託先などの事業者における個人情報の適正な取り扱いに万全を期するとともに、以下の点について、特段の注意を払うこと。
○経営者が率先して、自社内における個人情報の監理体制を構築し、役員クラスの責任者への任命や、個人情報を取り扱う専門部署の設置など、十分な措置を講じること。
○委託先の安全管理措置の実施が十分かを確認すること。また、委託先が再委託先をする場合には、事前に承認を求めるようにするとともに、再委託先による安全管理措置の実施が十分かを確認すること。再々委託先以降についても同様の扱いとすること。
○第三者から個人情報を取得する場合には、当該情報について、その入手方法などを確認すること。適法に入手されていることが確認できないときには、偽りその他不正の手段により取得されたものである可能性もあることから、取引の自粛を含め、慎重に対応すること。
1.個人情報保護法に基づく個人情報取り扱い事業者の守るべきルールの徹底
個人情報の適正な取り扱いを行うべく、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に沿った点検を行う。その際、例えば、以下のような項目について、十分チェックを行う。
○個人情報の利用目的の特定(法第15条)、目的外の利用禁止(法第16条)
個人情報を取り扱うに当たっては、利用目的を出来るだけ特定しなければならない。また、特定された利用の目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
○適正な取得(法第17条)
偽りその他不正な手段によって個人情報を取得してはならない。
○取得時の利用目的の通知等(法第18条)
個人情報を取得したときは、本人に速やかに利用目的を通知または公表しなければならない。また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
○個人データ内容の正確性の確保(法第19条)
利用目的の範囲内で、個人データを正確かつ最新の内容に保つよう努めなければならない。
◆具体的な措置例
・個人データ入力時の照合
・確認手続きの整備
・記録事項の更新
・保存期間の設定
など
○安全管理措置(法第20条)
個人データの漏えいや滅失を防ぐため、必要かつ適切な安全管理措置を講じなければならない。
◆具体的な措置例
・セキュリティ確保のためのシステム・機器などの整備
・事業者内部の責任体制の確保(個人情報保護管理者の設置、内部関係者のアクセス管理など)
など
○従業者・委託先の監督(法第21―22条)
安全に個人データを管理するために、従業者に対し必要かつ適切な監督を行わなければならない。また、個人データの取り扱いについて委託する場合には、委託先に対し必要かつ適切な監督を行わなければならない。
◆具体的な措置例
・個人情報保護意識の徹底のための教育研修などの実施
・個人情報保護措置の委託契約内容への明記
・再委託の際の監督責任の明確化
など
◆従業者とは、正社員のみならず、役員、契約社員、アルバイトなども含む。
◆委託元での安全管理措置(法第20条)と同等の措置が委託先でも講じられるような監督が求められる。
◆再委託の場合、委託先が適正な再委託先を選定しているか、委託先が再委託先に対して十分な監督を行っているかなど、委託元は把握し、適切な指導をする必要がある。
2.内部関係者の不正行為による情報漏えいを防止するセキュリティ対策の徹底
内部不正による情報漏えいを防止するための適切なセキュリティ対策を講じるべく、独立行政法人情報処理推進機構(IPA)が策定した「組織における内部不正防止ガイドライン」に沿った点検を行う。その際、チェックシートの活用とともに、例えば以下の項目について、十分チェックを行う。なお、個人情報を含む営業秘密の漏えいに関しては、「営業秘密管理指針」において、不正競争防止法の営業秘密として保護を受けるために望ましい管理方法などが示されているので、営業秘密についてはこちらに沿った点検も行う。
○アクセス権指定
重要な情報が補完されているファイルやデータベースについて、適切なアクセス権限を付与すること。
○物理的管理
重要な情報が補完されているファイルやデータベースについて、情報の持ち出し・可搬媒体などの持ち込みの監視を行うこと。
○証拠確保
重要な情報が補完されているファイルやデータベースについて、定期的な操作履歴の監視・監査を行うこと。
東京商工会議所