OCTOBER 27, 2022

他社事例から学ぶプライバシー対応

こんにちは!BICPDATAの中村です。
ブログ、大変ご無沙汰してしまいましたが、結構「読んでますよ」とお声がけいただくことも。うれしいですね。もっと更新していこうと思います!

さて、2020年個人情報保護法施行から半年が過ぎました。皆さん対策は万全ですか?
改正個人情報保護法対応はゴールではなく、お客様から個人情報をお預かりする以上は個人情報保護法対応は継続して続くものです。ただ、改正法対応というのは、どうしてもやらねばならないことではありますので、一つの山ではあります。
実は改正法対応はまだ終わっていないんですよ…という方々も、引き続き頑張って進めてくださいね!

さて、1ヶ月ちょっと前に、個人情報保護委員会から公表されたのが、こちら。

尼崎市の個人情報漏洩事件に関してB社に行政指導

尼崎市民の個人情報が入ったUSBメモリを紛失した件について、尼崎市から臨時特別給付金支給事務を受託していたB社が個人情報保護委員会から行政指導を受けました。

 なお、紛失したUSBメモリは紛失発覚の翌日に見つかったそうです。

以下、行政指導の概要を見てみましょう。

1.前提

今回のケースにおいては、以下の2点が背景事情として挙げられるようです。

要配慮個人情報や、給付金支給のための口座番号等が含まれる機微性の高い個人データを大量に恒常的に取り扱っているため、高い水準の安全管理措置等を講じることが求められる。

個人データが分離された複数のネットワーク環境で管理されているところ、システム間のデータ持ち運びをUSBメモリ等の電子媒体に頼らざるを得ない業務が多く存在する

取り扱っている情報の種類、業務の運用面にも着目されていることがわかります。

2.問題視された点

今回問題とされたのは以下の3点です。1,2点目については非常に興味深いので、そのまま引用します。

組織的安全管理措置

「現場担当者のみで判断することが常態」、なんてところは、ドキッとさせられますね・・・

組織的安全管理措置として、組織体制を整備した上で、リスク分析を行い必要かつ適切な措置を講じることまでが求められている、ということも学びです。

ホント、大変ですね・・・

再委託先の管理不十分

委託先管理としては、データの取り扱いについての具体的手順・守るべき安全管理措置を指示し、実際の取り扱いについての報告などにより取り扱い状況を把握すること、が求められている、ということがわかります。

これまた、ドッキドキですね(笑)。

委託先管理チェックリストに基づいて必要に応じて追加の対策を講じてもらうこともあるかもしれませんね。

そのほか、③物理的・技術的安全管理措置が不十分、という点も指摘されています。

3.指導内容(改善すべき点)

そして、いよいよ、指導の内容ですが、これもまた、各社で取り組むべきプライバシー対応についての指針となるものです。

組織体制を整備し、同社の管理規程及び委託元と取り決めた管理規程等個人データの取扱いに係る規律の遵守状況を確認し、必要に応じてそれらの規律又は管理体制を見直すこと。

再委託するに際し、安全管理措置及び個人データの取扱いに係る規律の意識及び知見を持った責任者が再委託先等における個人データの取扱状況を適切に把握できるよう、モニタリング機能の強化を図ること。

再発防止策として立案した物理的・技術的安全管理措置を確実に履行すること。

加えて指摘されたのが、以下の点。

「(前記)問題点を改善することが直接的な対処としては必須であるが、それに加え、同社の委託元及び再委託先等を含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要」

この追加された「直接的な対処」ではない改善ポイント。これは非常に重要なポイントだと考えています。

法律でやりなさいと言われたことをとりあえずやる、というのが「直接的」な解決策だとすれば、これはそもそも企業としてIntegrityを高めていこうということに他ならないと思います。

個々の担当者が意識を高かったとしても、それを全社的に広めていくのはこれまたとても大変なこと。
多くの企業様で、プライバシー対応の定着、浸透に頭を悩まされています。
プライバシー問題に直面したときに、

アレ?これ大丈夫かな??プライバシー担当部署に聞いてみよっと!

そういうアンテナを張れるようになるだけでも十分だと思います。

目先の対策にとらわれがちではありますが(もちろんそれもとても重要なことではありますが)、この根本的なカルチャーの醸成も心に留めておきたいですね!!

4.最後に

今回は、実際に発生した事故事例についての個人情報保護委員会の、いわば「解説」を元に、プライバシー対応を考えてみました。

正直なところ、法律、そしてガイドラインだけを見ていてもピンと来ないこともたくさんあります。プライバシーの事故自体は起こってはならないものではありますが、起こってしまった事故を教訓に、より自社のプライバシー対応をブラッシュアップしていくことができれば、リスクも低減できます。

全社ごととして、社員全員でプライバシー対応に取り組んでいきましょう!!

みんなで意識高く!

弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱いについてのご相談をお受けしております。
まずはお気軽にご相談ください。ご連絡お待ちしております。

WRITTEN BY: BICP DATA Inc. 中村恵美子
一覧へ戻る

CONTACT US
お問い合わせ

顧客中心型マーケティングにおけるデータ活用戦略の
推進をサポートします。

お問い合わせはこちら