お知らせ

平成29 年5月30日 すべての事業者に個人情報保護法が全面適用されます

個人情報保護法とは、民間事業者における個人情報の取扱いのルールを定めた法律です。改正法の施行により、これからはすべての事業者が個人情報取扱事業者になります。

1.中小規模事業者への配慮

個人情報を紙面やパソコンで名簿化するなど、データベース化して事業活動に利用している事業者
は個人情報取扱事業者になります。個人情報取扱事業者は、取り扱う個人データ(※)の漏えい、滅
失または毀損の防止その他の個人データの「組織的」「人的」「物理的」「技術的」の4つの側面から
安全管理措置を実施しなければなりません(個人情報保護法第20条)。
「個人情報保護法ガイドライン(通則編)」(個人情報保護委員会:平成28年11月公表)では、法第
20条に定める安全管理措置として、個人情報取扱事業者が具体的に講じなければならない措置や当該措置を実践するための手法例が示されています。
ただし、ガイドラインでは「その他の個人情報取扱従事者と同様に、法第20条に定める安全管理
措置を講じなければならないが、取り扱う個人データの数量及び個人データを取り扱う従業者数が一
定程度にとどまること等を踏まえ、円滑にその義務を履行し得るような手法の例を示すこととする。
もっとも、中小規模事業者が、その他の個人情報取扱事業者と同様に『手法の例示』に記述した手法
も採用することは、より望ましい対応である」として、中小規模事業者に配慮した手法も例示してい
ます(具体的には、管理者の体制などが簡素化されています)。
※「 個人データ」とは、個人情報のうち、紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの(個人情報データベース等)に含まれる個人情報をいう。

2.ガイドラインにおける「中小規模事業者における手法の例示」

  • 個人データの取扱いに係る規律の整備

個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。

  • 組織的安全管理措置

① 組織体制の整備
個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。
② 個人データの取扱いに係る規律に従った運用及び個人データの取扱状況を確認する手段の整備
あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任
ある立場の者が確認する。
③ 漏えい等の事案に対応する体制の整備
漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあら
かじめ確認する。
④ 取扱状況の把握及び安全管理措置の見直し
責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う。

  • 人的安全管理措置

① 従業員の教育
・個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。
・個人データについての秘密保持に関する事項を就業規則等に盛り込む。

  • 物理的安全管理措置

① 個人データを取り扱う区域の管理
個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できない
ような措置を講ずる。
② 機器及び電子媒体等の盗難等の防止
・個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書
類等を、施錠できるキャビネット・書庫等に保管する。
・個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリ
ティワイヤー等により固定する。
③ 電子媒体等を持ち運ぶ場合の漏えい等の防止
個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワー
ドの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
④ 個人データの削除及び機器、電子媒体等の廃棄
個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責
任ある立場の者が確認する。

  • 技術的安全管理措置

① アクセス制御
個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人デー
タへの不要なアクセスを防止する。
② アクセス者の識別と認証
機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報
データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
③ 外部からの不正アクセス等の防止
・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
・個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の
活用により、これを最新状態とする。

  • 情報システムの使用に伴う漏えい等の防止

メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワード
を設定する。

3.番号(マイナンバー)法と個人情報保護法の関係

個人情報には、マイナンバーをその内容に含む個人情報である特定個人情報があります。この特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せしています。また、番号法の保護措置は、個人情報保護法が適用されない小規模な事業者にも適用されます。(内閣官房HP「マイナンバー・社会保障税番号制度」よくある質問(FAQ)より)

アーカイブ