個人情報取扱事業者の義務のうち、安全管理措置を取上げます。
安全管理措置
個人情報取扱事業者は、個人データについて安全管理措置を講じる義務を負います。
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
個人データが対象
安全管理措置の対象は、個人データです。これは、個人データの安全管理措置が不十分だと、個人データが漏洩し、他の個人データと容易に統合され、個人の権利利益を侵害するおそれが大きいことが理由の一つです。また、個人情報全般を対象にすると、個人情報取扱事業者に過大な負担を負わせるおそれがあること理由の一つです。
滅失又はき損
個人データが失われることが滅失です。個人データの内容が意図しない形で変わっていたり、内容は変わっていなくても利用できない状態になることがき損です。
安全管理のために必要かつ適切な措置
安全管理措置には大きく分けると、以下のような措置が挙げられます。
安全管理措置の内容
①管理責任者を定める
②個人データにアクセスできる者を限定する
③セキュリティ監査体制の整備
④個人データ保管場所の施錠
⑤従業員に対する研修の実施
⑥委託契約における安全管理条項の整備
⑦アクセスログの保存
⑧情報の暗号化
従業者の監督
安全管理措置を従業者が遵守することを確保するために、個人情報取扱事業者は、従業者に対する監督責任を負います。
(従業者の監督)
第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
従業者
個人情報取扱事業者の組織内で、事業者の指揮命令系統に属し、事業者の業務に従事している者を意味します。雇用関係にあることは必要ありません。たとえば、派遣労働者は、事業者と雇用関係はありませんが、派遣先の個人情報取扱事業者の指揮命令系統に属している以上、ここでいう従業者に該当します。
必要かつ適切な監督
個人情報取扱事業者が監督責任を怠り、従業者が安全管理措置を懈怠することを防止できなかった場合、事業者も責任を問われます。
委託先の監督
個人情報取扱事業者は,安全管理措置を確保するため,委託先についても監督責任を負います。
(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者であるAがBに委託した場合,受託者であるBも個人情報取扱事業者でBが再委託をCに行った場合,Bは,Cの監督を義務付けられます。
上記の例でBが個人情報取扱事業者でない場合は,BによるCの監督義務は,この規定の枠外ということになります。
個人データの取扱いの全部又は一部を委託
個人データの入力,編集,出力等の情報処理を行う契約を締結し,その処理を行わせることを意味します。
必要かつ適切な監督
委託契約において,秘密保持義務,個人データの持出しの禁止,事務終了後の個人データの返還又は廃棄といった条項を定めることがあります。契約上,これらの条項があるだけでは,監督義務を果たしたことにはならないと解されています。
契約内容の遵守状況について定期的に報告を受けたり,不定期に立入検査を行ったりして,契約内容が遵守されているかを監督する必要があります。