個人情報の取り扱いにおいて、実務担当者が頭を悩ませる対応の1つが「安全管理措置」ではないでしょうか。
個人情報保護法(「法」)23条が求める「必要かつ適切な措置」とは一体何を指すのか。そして、法32条が求める「本人が知り得る状態(公表)」とはどこまで開示すればよいのか。
本記事では、これら法的義務の解釈から、社会に衝撃を与えた「尼崎市USBメモリ紛失事案」の教訓、さらには個人情報の保護に関する法律についてのガイドラインに基づいた具体的な実装チェックリストまでを網羅的に解説します。
単なる理論にとどまらない、実際に安全管理措置を講じる際の参考になれば幸いです。
安全管理措置は“必要かつ適切”
法23条は、個人情報取扱事業者に対し、個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために「必要かつ適切な措置」を講じることを義務付けています。
ここで重要なのは、この義務が「結果責任」だけでなく、実施しなければならないという「行為責任」としての側面を持つ点です。
つまり、「漏えいしなかったからOK」ではなく、「リスクに見合った適切な措置を講じていないこと自体」が法違反になり得るという点に留意しなければなりません。
「必要かつ適切」の判断基準
ガイドラインが明確に示す通り、安全管理措置は一律の正解があるわけではありません。以下の要素を考慮し、自社の取扱い実態に合わせて設計する必要があります。
- 事業の規模および性質: 従業員数、売上高、取り扱うデータの種類
- 個人データの取扱状況: データの性質(機微情報の有無)、量、保存媒体
- 個人データを詰め込んだ媒体の性質: 持ち出しの容易さ、紛失時の影響
そのため、たとえ同業だとしても、他社の規程がそのまま自社にも適用できるとは限りません。
結論として、安全管理措置は単なる「社内規程の整備」にとどまりません。自社のリスクを棚卸しし、それを防ぐための仕組みを実動させる「仕組みづくり」そのものなのです。
中小企業は簡易な措置でOK?
ガイドライン(通則編)には「中小規模事業者」向けの特例的な例示が存在します。
中小規模事業者は取り扱う個人データの量や従業員数が限られ、取り扱うリスクについては大企業とは異なることから、必ずしも大企業と同様の安全管理措置を講じる必要はなく、手法の例示でよいとされています。
そのため、多くの企業が「うちは中小企業だから、簡略化された対策でいいはずだ」と考えがちです。
しかし、ガイドラインで示しているのは「中小規模事業者」であり、いわゆる「中小企業」すべてが該当するわけではありません。ここが大きな落とし穴になり得ます。
「中小規模事業者」の定義
ガイドラインにおいて、中小規模事業者とは「従業員の数が100人以下の事業者」と定義されています。しかし、以下のいずれかに該当する場合は、従業員が100人以下、たとえば従業員が1名であっても、中小規模事業者には該当せず、一般の事業者と同等の高度な措置が求められます。
- 大量の個人情報を取り扱う事業者: 過去6か月以内のいずれかの日において、取り扱う個人情報の本人(識別可能な特定の個人)の総数が5,000人を超える場合
- 委託を受けて個人データを取り扱う事業者: 他の事業者から委託を受けて個人データを取り扱う場合
例えば会員登録型のSaaSを運営しており会員数が5,000人を超える場合は「1」に該当しますし、特にIT・事務受託系の事業者であれば、多くの場合「2」に該当します。
この場合、「中小向け」の簡易な例示をなぞるだけでは法的な「必要かつ適切な措置」を満たしているとはみなされないリスクがあるため、注意が必要です。
繰り返しになりますが、安全管理措置を講じるのは個人情報取扱事業者の義務であるため、「必要かつ適切な措置」を満たしていないということは法に違反している、ということです。
尼崎市USBメモリ紛失事案から学ぶ、運用不全のリスク
安全管理措置がなぜ形式的なものであってはならないのか。
それを如実に示したのが、2022年に発生した「尼崎市USBメモリ紛失事案」です。
事案の概要
2022年6月、尼崎市から住民税非課税世帯等への臨時特別給付金支給事務を受託していた事業者の再委託先社員が、全市民約46万人分の個人データ(氏名、住所、生年月日、住民税額、口座情報等)をUSBメモリに保存し、無断で持ち出しました。
この社員は作業終了後、USBメモリを所持したまま飲食店で飲酒。路上で寝込んでいる間にカバンごと紛失しました。最終的にメモリは発見され、内容の流出は確認されませんませんでしたが、自治体・企業の管理体制に対する社会的な不信感が生まれました。
行政指導(個人情報保護委員会)が突きつけた問題点
個人情報保護委員会による行政指導(令和4年9月21日、令和5年2月22日)では、単なる個人の過失ではなく、組織としての「安全管理措置の欠如」が厳しく問われました。
① 委託先への指摘
- 現場任せのリスク判断: 個人データ取扱いに関するリスクに関して現場の担当者のみで判断することが実態となっていた。リスクに応じて組織として検討・承認する体制の整備が命じられた。
- 形骸化したルールと確認不足: 取扱いに関するルール自体はあったが、実際に遵守されているかを確認する「点検・監査」が機能していなかった。
- 委託先(再委託先)の監督不備: 再委託先における個人データの取扱状況を適切に把握(モニタリング)していなかった。
② 再委託先への指摘
- 教育と周知の不徹底: 研修の受講状況や、実際の取り扱いルールが現場の従業者にまで浸透していなかった。
- 物理的・技術的対策の不足: 紛失を防ぐためのカバンへの固定、パスワードの強度設定、端末の操作ログの確認などが不十分であった。
この事案の教訓は、「たとえ立派な規程があっても、それが実働し、点検されていなければ、法23条違反になり得る」という点だといえます。
また、再委託先の企業は従業員数は10名未満でしたが、個人情報保護委員会は「尼崎市全住民約 46 万人の個人データを取り扱う以上、適切な安全管理措置を講じなければならない」と示しています。
このように、たとえ中小企業だったとしても、レベルの高い安全管理措置が求められることは十分あり得ますので、従業員数だけで判断するのは危険です。
加えて、この事案ではUSBメモリも発見され個人情報の漏えいは確認されていませんが、委託先企業は委託元(尼崎市)に対して約2,950万円以上の損害賠償金を支払っています(出典)。
この点からも、安全管理措置は軽視すべきでは無く、個人情報を取り扱うすべての企業がしっかり対応する必要があるといえます。
ガイドラインに基づく安全管理措置チェックリスト
ここからは、実務で具体的にどのような措置を講じるべきか、ガイドラインで示されている枠組み(10-1〜10-7)に沿って解説します。なお、実際に取り組む際はガイドラインを十分参照することをお勧めします。
1. 基本方針の策定
まず、組織として個人データの保護に取り組む姿勢を内外に示す「基本方針」を策定します。
- 内容: 法令遵守、目的、質問および苦情処理の窓口、安全管理措置に関する事項。
- 実務のコツ: プライバシーポリシーの一部としてWebサイトに掲載するのが一般的です。
2. 個人データの取扱いに係る規律の整備
データのライフサイクル(取得、利用、保存、提供、削除・廃棄)ごとに、具体的な手順を定めます。
- 取得・入力: 入力フォームの誤送信防止、本人確認手順。
- 利用・加工: 目的外利用を防ぐための権限設計、申請制の導入。
- 保存・保管: サーバーの所在(クラウド含む)、バックアップの頻度、保存期間の定義。
- 移送・送信: 添付ファイルの暗号化、外部への持ち出しルール。
- 削除・廃棄: 溶解処理や物理的破壊の証明、データの復元不能化。
3. 組織的安全管理措置
「ルールが守られているか」を管理する体制です。
- 体制の整備: 個人情報保護管理者(CPO)の設置と、異常発生時の緊急連絡網の確立。
- 個人データ取扱台帳の作成: 「どのデータを、誰が、どこで、どの委託先で扱っているか」を常に最新の状態に保つ。
- 点検・監査: 各部署による四半期ごとの自己点検、および年1回のシステム・業務監査。
4. 人的安全管理措置
「人」による事故を防ぐための対策です。
- 教育・研修: 入社時・異動時、および年1回以上の全従業員向け研修。最新のサイバー攻撃手口や誤送信対策を周知する。
- 秘密保持: 雇用契約時および退職時の秘密保持誓約書の締結、就業規則への違反時の懲戒規定の明文化。
5. 物理的安全管理措置
物理的な盗難や紛失を防ぐ対策です。
- 取扱区域の管理: 執務エリアの入退室管理(ICカード等)、来訪者の記録、のぞき見防止用パーティションの設置。
- 機器・媒体の管理: 施錠可能なキャビネットでの保管、持ち出し時の承認制、USBメモリ等の外部媒体の利用禁止(または暗号化必須)。
- 廃棄: シュレッダー処理、記録媒体の物理的破壊。
6. 技術的安全管理措置
システムによる自動的な制御です。
- アクセス制御: 最小権限の原則(業務に不要なデータは見せない)、共有IDの禁止、多要素認証(MFA)の導入。
- ログの保存: 特権管理者による操作ログ、不正なログイン試行の検知と記録。
- 外部攻撃対策: EDR/アンチウイルスソフトの導入、OS・ソフトウェアの脆弱性パッチ適用の自動化。
7. 外的環境の把握
海外のサービスを利用する場合、その国の制度を確認する義務です。
- 現状把握: 利用しているSaaSやクラウド(AWS、Azure、Google等)のリージョンがどこにあるかを確認する。
- 公表: どこの国の法制度の影響を受ける可能性があるかを本人に明示する。
自社の安全管理措置が十分か不安な方は、無料相談で現状を整理できます。
委託先管理は“安全管理措置の中核”
尼崎市の事案が証明した通り、自社がいくら対策をしても、委託先(および再委託先)で事故が起きれば、委託元としての「監督責任」が問われます。
この「監督責任」というのは、法25条で定められている”委託における義務”ですので、「やったほうがよい」ものではなく、「やらなければならない」ものである点には注意が必要です。
なお、委託については別記事でも紹介しています。
実務では以下の「選定・契約・運用」の3ステップが不可欠です。
- 選定(事前確認): 委託候補先の安全管理水準をチェックリスト等で事前評価する。
- 契約(法的拘束力): 個人情報の取り扱いに関する特約を締結。再委託の事前承認制、事故発生時の即時報告、立入調査(監査)権限を盛り込む。
- 運用(モニタリング): 契約して終わりではなく、定期的に(例:年1回)報告書を徴収したり、ヒアリングを行ったりして、管理が形骸化していないかを確認する。
本人が知り得る状態におく義務
安全管理措置は、ただ講じるだけでは不十分です。
法32条1項4号(施行令10条1号)に基づき、講じている措置の内容を「本人の知り得る状態」に置かなければなりません。
この「本人の知り得る状態」とは、公表だけでなく、本人の求めに応じて遅滞なく回答する場合も含まれますので、プライバシーポリシーなどに具体的に記載するだけでなく、「詳しくはお問い合わせください」という運用も可能です。
そのため、すべての詳細をウェブサイトに載せる必要はありません。
むしろ、詳細すぎる情報はセキュリティリスクになるおそれがあります。
例えば、プライバシーポリシーには組織的・人的・物理的・技術的な対策の「方針」と、外的環境の把握状況等を記載した上で、人から詳細な説明を求められた場合に、セキュリティに支障を及ぼさない範囲で(例:特定の製品名などは伏せつつ)遅滞なく回答できる体制を整えておくことも大切です。
安全管理措置は「作って終わり」ではない
安全管理措置は、一度マニュアルを作成すれば完了するタスクではありません。尼崎市の事案が示したのは、ルールはあっても「点検と見直し」が欠けていれば、重大な法違反と社会的信用の失墜を招くという教訓です。
- 自社の立ち位置を知る: 中小規模事業者の定義に当てはまるか、委託を受けていないか。
- リスクを棚卸しする: ガイドラインに沿って、自社の「穴」を見つける。
- 点検の仕組みを回す: PDCAサイクルを確立し、定期的に見直しを行う。
- 透明性を確保する: 法32条に基づき、適切に外部へ説明できる状態を整える(プライバシーポリシーなど)。
特に、自社が取り扱う個人情報の種類や項目をしっかり把握していないと、管理に「穴」が生まれやすいです。そのため、自社内で取り扱う個人情報について、定期的な見直しと棚卸しが求められます。
これらを通じて、単なる「法令遵守」を超えた、真に価値のある情報保護体制の構築を目指しましょう。
なお、適切な情報管理体制を構築するのは、自社内だけでは難しいという場合もあります。
ビーンズ行政書士事務所では、行政書士だけでなくセキュリティ系国家資格(情報処理安全確保支援士)のダブルライセンス保有者によるサポートを提供していますので、各事業者ごとに適した個人情報取扱規程や社内セキュリティルールなどを策定できます。
自社に適した安全管理措置についてのご相談は、こちらからお気軽にお寄せください。
(Beans Security Service)
ビーンズ行政書士事務所 代表 行政書士/情報処理安全確保支援士(登録セキスペ)/個人情報保護士
法律とセキュリティの両方の国家資格を持つ、国内でも数少ないプライバシーポリシー専門の行政書士です。ECサイト、SaaS、マッチングサービス、製造業など幅広い業種のプライバシーポリシーを10年以上にわたり作成・見直ししてきました。テンプレートの使い回しではなく、貴社の実際の運用に合ったポリシーをゼロから設計します。
「うちのポリシー、これで大丈夫?」と思ったら、お気軽にご相談ください!
▶ お問い合わせ
