ネット炎上予防

コンプライアンス遵守に必須の個人情報保護の取り組み

コンプライアンス遵守に必須の個人情報保護の取り組み

昨今の企業コンプライアンスは、法令遵守のみならず、社内規定や社会規範等、幅広い視野での取り組みが必要となっています。

中でも、個人情報に関する企業の取り扱いは非常に厳重になってきました。

この記事では、個人情報を扱う企業やその担当者向けに、個人情報保護が重要視されてきた背景や具体的な違反事例、違反防止対策までまとめて解説します!

問い合わせフォーム

個人情報保護法とは?

個人情報保護法とは?

個人情報保護法とは、情報化社会の急進によって、個人レベルでの権利・利益を保護する必要が求められてきたことで、2003年5月に公布、2005年4月に全面施行された法律です。

個人情報保護法の制定によって、個人情報を保有している事業者は一律、「個人情報取扱事業者」とされ、違反の際には刑事罰も設けられています。

個人情報保護法の二度の改正

個人情報保護法の二度の改正

インターネットを始めとする情報通信技術が発展し、事業のグローバル化も推進される中で、当初は想定していなかった、パーソナルデータの利活用が行われるようになりました。

そのため、個人情報保護強化の観点から、2015年9月に「改正個人情報保護法」が公布され、2017年5月30日に全面施行されることになったのです。

その後も、社会情勢の変化等を加味した3年ごとの見直しを踏まえ、2020年6月に二度目の改正個人情報保護法が公布されました。

個人情報保護法の違反事例

個人情報保護法の違反事例

個人情報取扱事業者である企業が、絶対に気を付けたいのが情報漏えいです。

過去にメディア等でも大きく取り上げられた違反事例を、事後の結果も含めてご紹介します。

同様の事件を未然に防ぐための参考にしてください。

通信企業の個人情報漏えい

某大手通信企業で、450万人規模の会員情報が脅迫目的で盗まれた大きな事件です。

犯人として、この企業の元関係者や会社役員等、数名が検挙されました。

当時この企業では、全社員が個人情報を閲覧・入手出来る状態にあったことが大きな原因となりました。

事件後の対応や影響
  • 全会員におわび状と500円の金券を送付
  • 同社役員の減給
  • 同社の損害額は100億円以上

教育企業の個人情報漏えい

某大手通信教育会社では、同社の業務委託先企業の派遣社員が個人情報を不正入手し、売却される事件が起こりました。

この事件でも、外部攻撃のセキュリティが万全でも、内部から情報を関単に持ち出せたことが問題となりました。

事件後の対応や影響
  • 調査、対策費用、補償金等で136億円の赤字
  • 経営陣の引責辞任
  • 会員の大幅減少

自治体の個人情報漏えい

某自治体で、約22万人分の住民基本台帳データが流出した事件です。

システム開発を委託した企業の下請け会社の従業員が転売を行い、名簿業者が出した販売広告によって発覚しました。

自治体では初となる、大規模な個人情報流出事件でした。

事件後の対応や影響
  • 市民に対し、1人当たり1万円の慰謝料の支払い
  • 個人情報保護条例の改正のきっかけとなった
  • 個人情報の管理体制、管理システムの強化と内部監査の実施

個人情報保護法違反による弊害

個人情報保護法違反による弊害

個人情報保護法を違反することで、法的措置や企業の経営活動にも大きな影響を与えます。

刑事・民事、社会的制裁も含め、それぞれのリスクをしっかりと認識しましょう。

刑事罰

個人情報保護法では、義務違反および改善命令に従わない場合は刑事罰も科せられる可能性があります。

改正前の刑事罰は「30万円以下の罰金」でしたが、2020年の法改正で更に厳罰化され、違反した法人に対し「1億円以下の罰金」を科すものとされました。

民事責任

個人情報の漏えいによって被害を受けた個人から、企業側へ損害賠償を請求される可能性があります。

実際に、大規模な個人情報漏えいによって複数の民事訴訟が起こされ、会社の経営を圧迫するケースもあるのです。

また、2020年の改正法で加わった、「一定の情報漏えいが発生したときは、個人情報保護委員会への報告と本人への通知の義務化」によって、企業が負う責任はますます重くなっています。

社会的信用の失墜

個人情報の漏えいはメディアでも話題に取り上げられやすく、関係者だけでなく、社会全体に知れ渡ることとなります。

企業が経営活動を行う上で、社会的信用は最も重要な要素であり、失うことによって下記の様な複数のリスクが考えられます。

  • 採用活動への妨げ
  • 販売活動の妨げ
  • 融資や広告掲載、不動産契約、上場等への妨げ
  • ブランディングイメージの低下
  • 従業員の離職
  • インターネットでの炎上

企業が取るべき個人情報漏えい対策

企業が取るべき個人情報漏えい対策前述したリスクを避けるために企業ができる対策は、「人為的ミスを防ぐこと」と「セキュリティ強化を行うこと」の二つの観点で考えていきましょう。

具体的な漏えい対策については、次の項目を踏まえて、自社の課題に沿った取り組みが大切です。

情報を持ち出さない

まずは根本的な対策として、社外への情報の持ち出しを規制、もしくは禁止することが必要です。

重要な情報が入ったPCやUSB、紙媒体の資料等は、出来る限り社外での取り扱いを禁止しましょう。

ただし、勤務時間内の外出時やコロナ禍で増えた自宅作業で、どうしても情報を持ち出さなければならない場合は、ルールの取り決めやセキュリティの強化を事前に行うことが大切です。

情報の放置をさせない

意外とやってしまいがちな、重要な書類等をデスクに置いたままの状態にすることや自席を離れる際に、画面ロックをせずに開いたままにしてしまうことには注意しましょう。

社内にいる時間でも、どこから情報が漏れるかは予測できません。

情報の廃棄に配慮する

必要のないデータは小まめに削除していくことも大切ですが、廃棄する方法についてもしっかりと確認しましょう。

情報が目視できる状態で破棄することは、二次利用につながる恐れもあるので、確実性のある廃棄を行うべきです。

例えば、個人情報が記載されている書類等はシュレッダーで処理する、パソコン等の電子機器であれば、しっかりと全てのデータを消去した状態での廃棄が望ましいでしょう。

不要物持込みの禁止

コンピューターウイルスが感染したデバイスからデータを取り込むことで、社内の共有ネットワークを通じて、他のパソコンにも伝染してしまう可能性が考えられます。

私物のパソコンやUSB、ハードディスク等の持ち込みは無断で行わせない、もしくは禁止しましょう。

備品関連の貸借禁止

会社から借りた備品は個人で責任を持って管理し、気軽に他者に貸与や譲渡することは絶対にやめましょう。

たとえ、他者が情報漏えいをおこした場合でも、同様の責任を追及される可能性もあります。

社内システムのセキュリティ強化

コンピューターウイルス、外部からのサイバー攻撃等、システムの不備による情報漏えいリスクは企業側の義務としてしっかりと対応すべきでしょう。

システム強化によって、人的リソースやソフト等の導入コストがかかる場合もありますが、インターネット使用が避けられない現代では、必ずといっていいほど必要な対策です。

主に、次の項目がポイントとなります。

  • OSアップデート
  • セキュリティソフト導入
  • システムの脆弱性の確認
  • 端末や共有フォルダへのアクセス制限

コンプライアンス研修の実施

コンプライアンス遵守を実行する上で、従業員一人一人の心構えは非常に大切です。いかに厳重なルールや強固なセキュリティがあっても、従業員側の意識がバラバラでは意味がありません。

コンプライアンス研修を実施することで、個人情報保護の重要性を再確認し、自分ごととして捉えさせることができ、ルールやポリシーを社内全体に周知する役割も果たします。

また、SNSに対するリテラシーについても、研修を通して従業員全員で見直す必要性を感じている企業も増えてきています。

こちらの記事も是非、ご覧ください。

SNSリスクにどう向き合うべきか?|今必要とされる社員教育
SNSリスクにどう向き合うべきか?|今必要とされる社員教育あなたの会社では、SNSリスクに対してどの程度関心を持ち、重要性を感じていますか?インターネットの世界では、個人と企業の線引きが非常にあいまいになりがちです。本記事では、今必要なSNSリスクへの備えとしての社員教育について詳しく説明します。...

企業や自治体の個人情報保護方針の事例紹介

企業や自治体の個人情報保護方針の事例紹介

企業や自治体によっては、ホームページに個人情報保護についての基本方針を掲載しているケースもあります。

他社が個人情報保護のコンプライアンスについて、どのような考え方を持ち、取り組みを行っているのか等を紹介します。

株式会社スクロール

株式会社スクロール
参照URL:コンプライアンス・個人情報保護 : スクロール

株主・投資家向けとして、コンプライアンス・個人情報保護に関する社内方針を、「企業倫理」・「企業活動」・「法令遵守」の3つのカテゴリに分けてまとめているのが特徴です。

個人情報保護に関しては、「法令遵守」の項目の中で「個人情報取扱事業者として個人情報保護法の重要性を認識し、個人情報の安全管理に努め、個人情報の漏洩防止を図る」としています。

加えて、別途項目を設け、個人情報マネジメントプログラム、プライバシー・ポリシー概要に分かれ、更に細かく方針を定めています。

株式会社エスシー・カードビジネス

株式会社エスシー・カードビジネス
参照URL:コンプライアンス・個人情報保護への取組み|株式会社エスシー・カードビジネス

この企業では、損害保険等の商品を扱っていることから、コンプライアンス体制の強化を自社経営の最重要課題の一つとしています。

個人情報の取り扱いについても厳重にルールを設けており、プライバシーポリシー、利用目的や開示請求、業務委託先での取り扱いについて等、非常に細かく記載されています。

東京都総務局

東京都総務局
参照URL:東京都のコンプライアンス | 個人情報保護方針

東京都総務局のコンプライアンス推進部は、都庁職員の服務観察や事務処理等を請け負っている部門です。

このサイトではポリシーとして、サイト利用者向けの個人情報の保護方針を掲載しています。

「東京都個人情報の保護に関する条例」に則り、基本的なプライバシーポリシーを端的にまとめています。

個人情報を守ることが企業の信頼を守ることにつながる

個人情報を守ることが企業の情報を守ることにつながる

過去20年ほどの間に、急速なインターネットの発展やグローバル化によって、個人情報保護に対する意識や取り組みは更に高まっています。

過去に情報漏えいを起こした企業は、セキュリティが万全にもかかわらず、内部の人為的な問題が多くみられました。

企業にとって、個人情報漏えいは大きなリスクになるので、外部セキュリティを強化するだけではなく、自社内でのコンプライアンス意識の向上をはかることも重要な課題です。

そのためには、社内ルールの整備やコンプライアンス研修の実施等、定期的な見直しを行いつつ、社会情勢に合わせた適切な対策を講じていきましょう。

受講者満足度98%以上!炎上リスクに備える研修
研修用CTA01

大企業、官公庁を含め1500名以上が受講した、SNSリスクリテラシー研修。

企業の風評対策実績10年以上のプロフェッショナルが、炎上を知り、未然に防ぐための社員研修を代行致します。

その他にもネット上の投稿、口コミの監視など、炎上予防や風評対策のための様々なご提案が可能です。

監修者
法律事務所アルシエン 共同代表パートナー

清水 陽平

清水陽平弁護士
2007 年弁護士登録(旧60期)。2010 月11 月法律事務所アルシエンを開設。 インターネット上で行われる誹謗中傷の削除、投稿者の特定について注力しており、Twitter、Facebook、Instagramに対する開示請求について、それぞれ日本第1号事案を担当。 主要著書として、「サイト別 ネット中傷・炎上対応マニュアル[第3版]」(弘文堂)、「企業を守る ネット炎上対応の実務」(学陽書房)を出版している。