\社員教育はeラーニングと集合研修で/
資料をダウンロードする2022年4月から改正個人情報保護法が全面施行され、個人情報を持つ本人の権利保護が一層強化され、個人情報保護教育の実施が義務付けられました。
特に個人情報保護委員会の措置命令違反について、法人などに対して30万円以下の罰金刑とされていましたが、改正では1億円以下の罰金刑が科されると規定されています(2020年12月施行)。
本稿では、個人情報保護法の基礎知識とともに、保護の対象とその漏えい防止策について解説していきます。
個人情報保護法とは?定義をわかりやすく解説
「個人情報の保護に関する法律」(以下「個人情報保護法」)とは、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とする法律です。
情報化の急速な進展で個人の権利利益の侵害の危険性が高まり、国際的な法制定の動向を背景に2003年5月に公布されて翌2005年4月に全面施行されました。
その後、デジタル技術の進展や経済・社会活動のグローバル化に伴い、これまで3度の大きな改正が行われています。
個人情報保護法では、前述の目的を実現するために個人情報を取り扱う事業者が遵守しなければならない義務を定めています。
個人情報を取り扱う事業者に対して遵守義務を課し、個人情報の保護と活用の2つの目的を達成する仕組みになっています。
個人情報保護の対象情報とは?具体例を一覧で紹介
以下のように、個人情報保護法では生存する個人に関する情報で特定の個人を識別できるものを「個人情報」と定義しています。
| この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)二 個人識別符号が含まれるもの 出典:「個人情報保護法」e-gov法令検索 |
個人情報には氏名・生年月日・住所などが該当し、電話番号・メールアドレスのように他の情報と照合して特定の個人を識別できるものも含まれます。具体的には、以下のような情報が個人情報の例としてあげられます。
- 氏名
- 生年月日
- 住所
- 電話番号
- メールアドレス
- 顔写真
- 指紋や虹彩などの生体情報
- マイナンバーやパスポート番号などの個人識別符号
上記の情報は個人情報保護法の対象となり、企業は法律で定められた適切な取り扱いが求められます。
個人情報に該当しないもの
個人情報保護法では特定の個人を識別できる情報を「個人情報」と定義していますが、すべての情報が該当するわけではありません。以下に、個人情報に該当しない情報の具体例をあげて説明します。
| 個人情報に該当しない情報の例 | 概要 |
| 法人等の団体に関する情報 | 企業の財務情報・業績データなど、法人や団体そのものに関する情報は個人情報には該当しない。例えば、企業の決算報告書や組織図などが該当する。 |
| 統計情報 | 複数人のデータから共通の要素を抽出し、分類ごとに集計された情報は、特定の個人を識別できないため個人情報に該当しない。例えば、年齢層別の購買傾向や地域ごとの人口統計などが統計情報にあたる。 |
| 匿名加工情報 | 特定の個人を識別できないように加工し、復元できないようにした情報は個人情報に該当しない。例えば、氏名・住所を削除して識別符号を変更したデータなどが匿名加工情報に該当する。 |
以上のように、個人情報保護法では特定の個人を識別できない情報は個人情報に該当しないとされています。
企業が取得できる個人に関する情報は4種類ある
企業が取得できる個人に関する情報は、大きく以下の4種類にわけられます。
- 要配慮個人情報
- 匿名加工情報
- 仮名加工情報
- 個人関連情報
法律で定められた取り扱い方がそれぞれ異なるため、上記の情報を取得する際は十分な注意が必要です。
要配慮個人情報
要配慮個人情報は個人情報の中でも特に取り扱いに注意が必要で、本人に対する差別・偏見が生じる可能性のある情報です。具体例として、以下の項目に関する情報が要配慮個人情報としてあげられます。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪歴
- 犯罪被害歴
- 心身の障害
- 健康診断の結果
- 治療歴
- 刑事手続きに関する経歴 など
要配慮個人情報は取得時に原則として本人の同意が必要で、第三者提供の際にも厳格な制限が設けられています。
匿名加工情報
匿名加工情報とは、個人情報を特定の個人を識別できないように加工して復元できないようにした情報です。具体的には、以下のような情報が匿名加工情報に該当します。
| 匿名加工情報の例 | 活用例 |
| 購買履歴 | 購買履歴を匿名加工し、複数の事業者間で共有して新たなサービス・イノベーションの創出を行う。 |
| 医療情報 | 病院や調剤薬局が管理している患者の医療情報を匿名加工し、第三者機関に提供して医療技術の発展・新薬の開発研究に利用する。 |
| 交通データ | 交通系ICカードの乗降履歴を匿名加工し、複数の事業者間で共有して、より精密な渋滞予測や天候情報を行う。 |
匿名加工情報は個人情報に該当せず、本人の同意なく第三者提供が可能ですが、情報の作成・提供時には一定のルールや公表義務があります。
具体的には、匿名加工情報を作成した際には利用目的を公表し、情報の漏えい防止など適切な安全管理措置を講じなければなりません。
仮名加工情報
仮名加工情報とは、他の情報と照合しない限り特定の個人を識別できないように加工した個人情報です。具体的には、氏名を仮名に置き換えた場合などが該当します。
仮名加工情報は個人を特定できる情報として復元可能であるため、個人情報として扱われます。
仮名加工情報を取得するにあたり、利用目的の変更が通常よりも柔軟に認められますが、第三者への提供には原則として本人の同意が必要です。
また、仮名加工情報を取得した企業において、他の情報と照合して特定の個人を識別する行為は禁止されています。
個人関連情報
個人関連情報とは、個人に関する情報でありながら個人情報・匿名加工情報・仮名加工情報のいずれにも該当しない情報です。具体的には、以下のような情報が個人関連情報に該当します。
- 個人の位置情報
- ウェブサイトの閲覧履歴
- ECサイトでの購買履歴
個人関連情報は、単独では特定の個人を識別できません。しかし、他の情報と組み合わせると個人を特定できる可能性があるため、個人関連情報の取り扱いには注意が必要です。
なお、個人関連情報を第三者に提供する場合、提供元の企業は本人の同意を得なければなりません。
個人情報に関連する押さえておきたい3つの用語
個人情報に関連する押さえておきたい用語として、以下の3つがあげられます。
- 個人情報データベース等
- 個人データ
- 保有個人データ
上記3つの違いを理解しておけば、個人情報に関してより理解しやすくなります。
個人情報データベース等
「個人情報データベース等」とは個人情報を含む情報の集合体で、特定の情報を検索できるよう体系的に構成されたものです。具体的には、以下のようなものが個人情報データベース等に該当します。
- コンピュータで管理された顧客データベース
- 五十音順に整理された紙の名簿
個人情報データベース等は情報を効率的に検索・利用するために整理されており、個人情報保護法の適用対象となります。
個人データ
「個人データ」とは、「個人情報データベース等」を構成する個人情報です。具体的には、個人情報データベース等に保存される以下のような情報が個人データとしてあげられます。
- 紙の名簿に記載される氏名・誕生日・住所など
企業が取得した個人情報をデータベースで管理する場合、情報は「個人データ」となって個人情報保護法の規制が適用されます。
保有個人データ
「保有個人データ」とは個人データのうち、個人情報取り扱い事業者が開示・訂正・利用停止などの権限を有するものです。
以前は、6か月以内で消去される個人データは短期保存データとして「保有個人データ」に含めませんでしたが、法改正により、この制限はなくなり短期間でも「保有個人データ」として扱います。
具体的には、以下のような企業が自社で管理し、本人からの開示・訂正の請求に応じる義務があるデータが該当します。
- 顧客情報:企業が保有する顧客の氏名、住所、連絡先、購入履歴など
- 従業員情報:企業が管理する従業員の氏名、住所、連絡先、給与情報、勤務評価など
- 会員情報:スポーツクラブやサークルなどの会員の氏名、連絡先、活動履歴など
- 患者情報:医療機関が保有する患者の氏名、診療記録、処方情報など
- 取引先情報:企業が取引先から受け取った名刺を整理・分類し、容易に検索できる状態にしたもの
企業が個人情報を扱う上で押さえるべき4つのポイント
企業が個人情報を扱う上で押さえるべきポイントとして、以下の4つがあげられます。
- 取得・利用に関するルール
- 保管・管理に関するルール
- 第三者提供に関するルール
- 公示事項・開示請求への対応に関するルール
個人情報を取得する企業は、上記のルールを理解して適切に取り扱わなければなりません。
取得・利用に関するルール
個人情報の取得・利用に関するルールとして、個人情報保護法では以下の4つが定められています。
- 利用目的を特定し、その範囲内で利用する(個人情報保護法17条)
- 利用目的を通知または公表する(個人情報保護法21条)
- 違法または不当な行為を助長し、または誘発するおそれのある方法では利用しない(個人情報保護法19条)
- 偽りその他、不正の手段によって個人情報を取得しない(個人情報保護法20条)
個人情報を取得・利用する際は、上記のルールを必ず遵守しましょう。
保管・管理に関するルール
個人情報の保管・管理に関するルールとして、個人情報保護法では以下の4つが定められています。
- データ内容を正確かつ最新の内容に保つとともに利用が不要になったときは消去するように努める(個人情報保護法22条)
- 漏えいが生じないように安全管理する(個人情報保護法23条)
- 従業員、委託先に対しても安全管理を徹底する(個人情報保護法24・25条)
- 個人情報保護委員会規則で定める漏えいなどが生じたときには、委員会に対して報告を行うとともに本人への通知を行う(個人情報保護法26条)
個人情報を保管・管理する際は、上記のルールを必ず遵守しましょう。
第三者提供に関するルール
個人情報の第三者提供に関するルールとして、個人情報保護法では以下の3つが定められています。
- 第三者に提供するときはあらかじめ本人から同意を得る(個人情報保護法27条)
- 外国にいる第三者に提供するときは、参考情報を提供した上で情報提供について同意を得る(個人情報保護法28条)
- 第三者に提供したとき、第三者から提供を受けたときは一定事項を記録する(個人情報保護法29・30条)
個人情報を第三者へ提供する際は、上記のルールを必ず遵守しましょう。
公示事項・開示請求への対応に関するルール
個人情報の公示事項・開示請求に関するルールとして、個人情報保護法では以下の3つが定められています。
- 事業者の名称、利用目的、開示などの手続きについて公表する(個人情報保護法21条)
- 本人から開示などの請求があったときは対応する(個人情報保護法37条)
- 苦情には適切かつ迅速に対応する(個人情報保護法40条)
個人情報の公示事項・開示請求に関しては、上記のルールを必ず遵守しましょう。
企業における個人情報漏えいの件数は年々増加傾向にある
近年、企業における個人情報の漏えい・紛失事故は増加傾向にあります。
東京商工リサーチの調査によれば、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は189件で前年比8.0%増と過去最多を更新しています。
引用:2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分|東京商工リサーチ
また、2019年から個人情報の漏えい・紛失事故は右肩上がりに上昇しており、企業・個人が大きな損失を被っている状況です。
企業の経済的損失・社会的信用の失墜につながるため、情報セキュリティ対策の強化が急務となっています。
個人情報漏えいの具体的なリスクと対処法
個人情報が漏えいした場合、個人情報保護法違反であれば、罰則が適用されます。
まず、個人情報保護委員会が、個人情報取り扱い事業者等に対し、是正勧告が可能です(法145条1項)。そして、勧告を受けたにも関わらず、正当な理由がなく措置をとらなかった場合、委員会は措置の強制を命令できます。
委員会が設定した期間中に措置が講じられない場合は、公表の対象となるほか、個人の場合は1年以下の懲役または100万円以下の罰金、法人の場合は1億円以下の罰金刑が科されることもあります(法173条、法179条1項1号)。
こうした法定刑だけでなく、民事上の損害賠償請求をされたり、企業として社会的信用を失ったりしてしまう可能性が高いです。上記のリスクを回避するために、以下では個人情報漏えいの具体的なリスクと対処法を紹介します。
なお、個人情報保護法の違反事例や対策法については「個人情報保護法違反が身近に起きるケースとは?事例や起きないための予防策も解説」の記事でも詳しく紹介しています。
要配慮個人情報が漏えいする
要配慮個人情報(例:病歴、犯罪歴など)の漏えいは差別や偏見を助長し、本人の社会的信用を損なう可能性があります。
要配慮個人情報が外部に流出すると、個人のプライバシーが侵害され、社会生活に支障をきたす可能性が高いです。
要配慮個人情報が外部に流出した場合、速やかに個人情報保護委員会に報告して本人へ通知しなければなりません。また、アクセス制限やデータの暗号化など情報の保護を強化する措置を講じる必要があります。
財産的被害に関わる個人情報が漏えいする
クレジットカード情報や銀行口座情報の漏えいは、直接的な金銭被害や不正利用のリスクを伴います。上記の情報が悪意のある第三者に渡ると不正な取引や資金の引き出しなど、被害者に多大な経済的損失をもたらす可能性が高いです。
例えば、2024年に大手飲食チェーンの通販サイトが不正アクセスを受け、約9万人分のクレジットカード情報が流出した事件がありました。
財産的被害に関わる個人情報が漏えいした場合、速やかに個人情報保護委員会に報告して本人へ通知しなければなりません。
さらに、認証システムの導入や取引のモニタリング強化などのセキュリティ対策を徹底する必要があります。
参考:タリーズ、顧客9万人の情報漏洩の可能性 クレジットカード情報も|朝日新聞デジタル
個人情報が漏えいして不正目的で使用される
漏えいした個人情報が詐欺やなりすましに利用され、本人や企業の信用が損なわれる可能性があります。
例えば、他人の個人情報を用いてスマホの通信回線契約を結ぶなどの不正行為が考えられます。
他の情報と同様に、まず速やかに個人情報保護委員会に報告して本人へ通知しなければなりません。
加えて、再発防止のために従業員教育を徹底して情報管理の意識向上を図ることが効果的です。なお、個人情報保護法に関する従業員への教育に関しては以下2つの記事でも解説しています。
関連記事:個人情報保護研修とは?実施内容と押さえておきたいポイントを解説
関連記事:個人情報保護教育とは?改定で必要性が増した社員教育のポイントや方法を解説
1,000人単位など大規模な個人情報が漏えいする
1,000人単位の大規模な情報漏えいは企業の社会的信用の失墜や法的制裁、巨額の賠償責任につながる可能性があります。
例えば、2023年に大手通信会社の元派遣社員が個人情報約900万件を不正に持ち出して流出した事件がありました。同社では社内調査の実施・クライアントへの対応など、信頼回復に向けて多大な労力を割いている状況です。
他の情報と同様に、速やかに個人情報保護委員会に報告して本人へ事情を通知する必要があります。さらに、防止措置として定期的なセキュリティ診断を実施し、システムの脆弱性を早期に発見・修正できる体制を整えましょう。
参考:NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(続報)|NTTビジネスソリューションズ
個人情報漏えいの予防対策
企業が実施できる個人情報漏えいの予防対策として、以下の4つがあげられます。
- デジタル機器の持ち出し・持ち込みを制限する
- メールの誤送信・データの添付間違いを防ぐ仕組みを導入する
- パソコンを開いた状態で放置しない
- 定期的に個人情報保護・情報セキュリティに関する研修を実施する
個人情報漏えいの被害を未然に防ぐためにも、上記の予防対策を実施しましょう。
デジタル機器の持ち出し・持ち込みを制限する
社外へのデジタル機器の持ち出しや私物機器の社内持ち込みは情報漏えいのリスクを高めるため、制限を設けましょう。
特に、社用ノートパソコンやスマートフォンの外部持ち出しは紛失や盗難による情報漏えいの原因となります。
端末にデータを残さないシンクライアントシステムの導入やデジタルデバイスを紛失した際にリモートでデータを消去できるアプリ・ソフトの導入もインシデント発生時の損害を抑えるには効果的です。
メールの誤送信・データの添付間違いを防ぐ仕組みを導入する
メール送信先の設定ミスや個人情報が含まれた添付ファイルの誤送信も個人情報が漏えいする要因となります。
メールの誤送信・データの添付間違いなどを防ぐためには、送信前に宛先・添付ファイルを確認する習慣を従業員に徹底させることが基本です。
さらに、添付ファイルを暗号化しパスワードを別途送付するシステムや、メール送信を一定時間保留するシステムを導入すれば、誤送信のリスクを大幅に減らせます。
パソコンを開いた状態で放置しない
オフィス内外を問わず、パソコンを開いたまま放置するのは情報漏えいのリスクを高めます。
特に、外出先の飲食店やコワーキングスペースなど公共の場所での作業中に離席するときは要注意です。
デスクトップならば必ずロック画面に、ノートパソコンならば机に放置せずに持ち歩くよう従業員に意識させましょう。
定期的に個人情報保護・情報セキュリティに関する研修を実施する
個人情報保護を含めて情報セキュリティに関する研修会や勉強会を定期的に開催するなど、従業員教育を実施するのも大切なポイントです。
研修で情報漏えいが発生した過去の事例を共有するとともに、具体的な対策方法を周知徹底すれば、社内のセキュリティリテラシーを強化できます。
セキュリティ意識は、時間とともに薄れていきます。徹底するためにも定期的に研修を実施し、意識を向上させヒューマンエラーによる情報漏えいを防止しましょう。。
「manebi」(LMS)を活用した個人情報保護法研修のメリット
manebiはeラーニング・集合研修・ナレッジ共有を体系的に組み合わせ、企業の人材育成をサポートするサービスです。
manebiの学習管理システム(LMS)を活用した個人情報保護法研修には多くのメリットがあります。以下に、manebiを個人情報保護法研修で活用する主な利点を詳しく解説します。
初めての実施でも手厚い支援が受けられる
初めて個人情報保護法研修を実施する企業にとって、適切な研修方法やプランの選定は難しい課題です。manebiは以下の取り組みを通して、企業の研修を手厚くサポートします。
- 最適な研修方法やプランの提案
- eラーニング導入時のオンボーディングミーティング
- 集合研修の準備サポート
上記のように研修の企画から実施まで一貫してサポートするため、初めての研修実施でも安心して取り組めます。
豊富な実績がある
manebiは3,500社以上に導入されており、多くの企業での活用実績があります。また、継続利用率は99%と高く、多くの企業に効果を実感いただいています。
幅広い研修をサポートする中で培われたノウハウを活用し、さまざまな業種・規模の企業に対応した研修プログラムの提供が可能です。
manebiは信頼性の高いサービスとして、多くの企業から支持を得ています。
あらゆるテーマの研修ができる
manebiのプラットフォームには個人情報保護法研修だけでなく、ビジネススキルやコンプライアンスなど6,000以上の教材コンテンツが搭載されています。
人材育成に関わる幅広い教育コンテンツから学習プログラムを組めるため、企業のニーズに合わせた多様な研修が可能です。
また、ストーリー仕立てのドラマ教材・要点をまとめたスライド教材など受講者が楽しく学習を進められるよう工夫された教材が揃っている点も特徴です。
manebiは従業員のスキルアップ・知識の向上を多種多様なコンテンツを通して総合的にサポートします。
eラーニングと集合研修:ニーズに合わせて選択できる
manebiではeラーニングと集合研修の両方を提供しており、企業のニーズに合わせて最適な研修プランを選択できます。
例えば、個人情報の漏えいに対する意識がまだ高くない場合、eラーニングで知識を浸透させていくのが良いでしょう。
反対に、情報漏えいが既に起こっているなど問題が顕在化している場合は、集合研修を実施して社内事例を交えながら自分ごと化させていくのが有効です。
さらに、eラーニングと集合研修を合わせた「ブレンディッドラーニング」も提供しています。eラーニングで基礎知識をインプットし、集合研修ではアウトプットをメインに実施すれば、学習効果を最大化できます。
自社独自の教材も簡単に作成できる
manebiは、自社独自の教材を簡単に作成・アップロードできる機能を備えている点も特徴です。企業は自社の業務内容や方針に合わせたオリジナルの研修コンテンツを作成し、人材教育を行えます。
また、既存の豊富なコンテンツと組み合わせれば、より効果的な研修プログラムを構築できます。
自社独自の教材を活用して研修の質を高め、効率的に従業員のスキルアップを図れるのがmanebiのメリットです。
manebiに興味をお持ちの企業様はお気軽にこちらからご相談ください。
個人情報保護法に関するよくある質問
個人情報保護法に関するよくある質問として、以下の3つがあげられます。
- 個人情報保護法の対象外となる情報はある?
- 氏名のみでも個人情報となる?
- 個人情報保護に関するガイドラインは存在する?
個人情報保護法に関して疑問点がある場合は、上記質問への回答を参考にしてください。
個人情報保護法の対象外となる情報はある?
個人情報保護法は、以下のような特定の活動における個人情報の取り扱いについて適用が除外される場合があります。
| 個人情報保護法の対象外となるケース | 概要 |
| 報道機関の報道目的 | 報道機関が報道の用に供する目的で個人情報を取り扱う場合。 |
| 著述業の著述目的 | 著述を業として行う者が著述の用に供する目的で個人情報を取り扱う場合。 |
| 宗教団体の宗教活動 | 宗教団体が宗教活動の用に供する目的で個人情報を取り扱う場合。 |
| 政治団体の政治活動 | 政治団体が政治活動の用に供する目的で個人情報を取り扱う場合。 |
上記の活動は表現・信教の自由などの観点から、個人情報保護法の適用が除外される場合があります。
氏名のみでも個人情報となる?
氏名のみであっても、社会通念上は特定の個人を識別できる情報と考えられるため、個人情報に該当します。
同姓同名の人が存在する可能性があっても、一般的には氏名だけで個人を特定できるとみなされます。 ただし、名字だけ・名前だけなど個人を特定できない場合は個人情報に該当しません。
個人情報保護に関するガイドラインは存在する?
個人情報保護委員会は「個人情報の保護に関する法律についてのガイドライン」を策定しており、個人情報の適切な取り扱いに関する指針を提供しています。上記のガイドラインには、個人情報の定義や取り扱い方法、事業者の義務など具体的な指針が示されています。
参考:個人情報の保護に関する法律についてのガイドライン(通則編) |個人情報保護委員会
まとめ
個人情報の漏えいは、企業に深刻な損害をもたらします。
近年の法改正により、個人情報保護教育は義務化されており、従業員への適切な教育が求められています。
ルールを繰り返し教育し、従業員の意識を高めることで、情報漏えいを防ぐ強固な組織を築きましょう。
個人情報保護教育に関して興味をお持ちの企業様は、お気軽にこちらからご相談ください。
\社員教育はeラーニングと集合研修で/
資料をダウンロードする
