個人情報保護法のWEB弁護士相談 - 入門・定義編 -

7. 個人情報の安全管理措置とは

個人情報の安全管理措置とは、個人情報の漏洩防止など、個人情報を安全に取り扱うために必要かつ適切な措置として求められている措置のことです。
個人情報の漏洩などの事故を防ぐには、適切な安全管理措置を講じることが重要です。
個人情報を取り扱う企業に求められている安全管理措置の全体像とそのポイントについて、具体例も参考にしながら理解を深めましょう。
安全管理措置の公表義務が生じる場合の注意点についても解説します。

インデックス
  • 業務内容

    個人情報の安全管理措置とは何ですか?

    個人情報の安全管理措置とは、個人情報の漏洩防止など、個人情報を安全に取り扱うために必要かつ適切な措置として求められている措置のことです。
    個人情報保護法では、次のように定められています。

      個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

    (参照:個人情報保護法23条)

    「必要かつ適切な措置」とは、具体的にどういう意味なのでしょうか?

    安全管理措置の内容として、個人情報の漏洩などにより本人が被る被害の大きさを考慮し、そのリスクに応じた措置を講じる必要がある、という意味です。
    リスク評価において考慮すべき要素としては、次のような観点が例示されています。

    • 事業の規模・性質
    • 取り扱う個人情報の性質・量
    • 個人情報の取扱状況
    • 個人情報の記録媒体の性質

    (参照:ガイドライン(通則編)3-4-2)

    つまり、一つの企業内で取り扱うすべての個人情報に対して、一律に同じレベルの安全管理措置を講じる必要はないということです。
    例えば、漏洩が生じると個人顧客に対する財産的被害が生じるおそれが大きいクレジットカード番号については、特別な権限を有する担当者のみがアクセスできるようにするために厳格な安全管理措置を講じる一方、公開されている登記情報から取得した仕入先の代表者情報については従業員が必要なときに閲覧しやすいように社員IDでログインできるデータベースに保存しておく、という方針を採用することは、望ましい対応であると言えます。

    個人情報保護委員会が求める安全管理措置の内容は、大企業と中小企業とで異なるのでしょうか?

    中小企業の場合、大企業と全く同じ安全管理措置を講じなければならないわけではありません。
    取り扱っている個人情報や個人情報を取り扱う従業員が比較的少ないことなどを踏まえて、ガイドライン(通則編)において、「中小規模事業者」が講じる措置の具体例が示されています。
    (ガイドライン(通則編)10、Q&A10-5)

    「中小規模事業者」とは、具体的にどのような規模の企業のことですか?

    「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者のことを指します。
    ただし、次のいずれかに該当する場合は、従業員の数が100人以下であっても例外的に「中小規模事業者」に含まれないとされています。

    • 事業の用に供する個人情報の件数(本人の人数)の合計が過去6月以内のいずれかの日において5000人を超える企業
    • 他の個人情報取扱事業者の委託を受けて個人情報を取り扱っている企業

    (参照:ガイドライン(通則編)10)

    安全管理措置の全体像をもう少し具体的に教えてください。

    必要となる措置は、大きく2つの観点で分類することができます。
    一つ目の観点は、基本方針・取扱規程の整備です。
    まず、企業全体として個人情報の保護に取り組んでいくことを明文化した基本方針を個人情報保護宣言、プライバシーポリシーなどの名称で策定します。(ガイドライン(通則編)10-1)
    その上で、企業が個人情報を取り扱うそれぞれの場面に即した取扱規程(社内ルール)を整備していきます。 (ガイドライン(通則編)10-2)

    取扱規程(社内ルール)はどのような構成で作成すればよいでしょうか?

    一般的には、企業における個人情報の取扱プロセスである「取得→利用→保存→提供→削除・廃棄」の各段階ごとに取扱規程を定めることが推奨されています。
    例えば、個人顧客から氏名、住所などを記したサービス提供申込書の提出を受ける場面が「取得」に当たります。
    「取得」に関わる部署・責任者を明確化した上で、その部署においてどのような安全管理措置を実施するのかを社内ルール化していくことになります。

    安全管理措置の2つ目の観点は何でしょうか。

    安全管理に係る実施体制の整備です。
    具体的には、次の5種類の安全管理措置が実施されるように、体制を整備することになります。(ガイドライン(通則編)10-3~10-7)
    それぞれの具体的な内容については、ガイドライン(通則編)に定められています。

    1. 組織的安全管理措置
    2. 人的安全管理措置
    3. 物理的安全管理措置
    4. 技術的安全管理措置
    5. 外的環境の把握

    (参照:ガイドライン(通則編)10-3~10-7)

    ガイドライン(通則編)で紹介されている具体的手法を全て講じなければ違法と評価されてしまうのですか?

    いいえ、そのようなことはありません。
    ガイドライン(通則編)で「講じなければならない措置」として紹介されている観点については、そのすべてに対して、何らかの手法で安全管理措置を講じる必要があります。
    もっとも、「講じなければならない措置」をどのような方法・手段で実現するのか、という「手法」レベルでは、各企業の自主的な判断が尊重されます。
    ガイドライン(通則編)で紹介されている手法は、あくまで例示にすぎませんから、その全てを講じなければならないわけではありません。また、適切な手法は具体例の内容のみに限定されません。
    個人情報の取扱状況などのリスクを分析した上で自社の実情に合った手法を選択することは、むしろ望ましいことです。
    (Q&A10-1)

    それは安心しました。
    どのような手法が当社に合っているか、社内の関係部署と議論して決めていきたいと思います。

    (1)組織的安全管理措置とは

    5種類の安全管理措置の1つ目として挙げられた「組織的安全管理措置」とは何ですか?

    組織的安全管理措置とは、個人情報がルールに従って適切に取り扱われるような組織作りを行うことです。
    もう少し具体的に定義すると、安全管理について従業者の責任と権限を明確に定め、安全管理に関する規定や手順書を整備運用し、その実施状況を確認することを指します。

    組織的安全管理措置として「講じなければならない措置」は何ですか?

    組織的安全管理措置として「講じなければならない措置」は以下の5つです。
    それぞれの手法の例示については、ガイドライン(通則編)を参照してください。

    項目名称 講じなければならない措置
    1. 組織体制の整備 安全管理措置を講ずるための組織体制を整備しなければならない。
    2.個人情報の取扱いに係る規律に従った運用 あらかじめ整備された個人情報の取扱いに係る規律に従って個人情報を取り扱わなければならない。
    3.個人情報の取扱状況を確認する手段の整備 個人情報の取扱状況を確認するための手段を整備しなければならない。
    4.漏洩等事案に対応する体制の整備 漏洩等事案の発生または兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
    5.取扱状況の把握及び安全管理措置の見直し 個人情報の取扱状況を把握し、安全管理措置の評価や見直し、改善に取り組まなければならない。

    (参照:ガイドライン(通則編)10-3)

    5番の「安全管理措置の評価や見直し、改善」をどのように行えばよいのか、具体的なイメージが湧きづらいです。

    取扱責任者による点検や、監査部・外部機関による監査を定期的に実施することが効果的です。
    「マネジメントシステム監査指針JISQ19011(ISO19011)」に準拠した監査を行うとよいでしょう。
    (Q&A10-11)

    (2)人的安全管理措置とは

    5種類の安全管理措置の2つ目として挙げられた「人的安全管理措置」とは何ですか?

    人的安全管理措置とは、個人情報を取り扱う従業員に着目して行う安全管理措置のことです。
    個人情報保護法24条において、従業員に対する監督を行うことが義務付けられていることも、人的安全管理措置の一内容であると言えます。

    人的安全管理措置として「講じなければならない措置」は何ですか?

    人的安全管理措置として「講じなければならない措置」は以下の1つです。
    それぞれの手法の例示については、ガイドライン(通則編)を参照してください。

    項目名称 講じなければならない措置
    従業者の教育 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない

    (参照:ガイドライン(通則編)10-4)

    人的安全管理措置の対象者には、どの範囲の人までを含める必要がありますか?

    「従業者」全般を含める必要があります。
    この記事では、一般の方向けの分かりやすさを重視して従業員という表記を採用していますが、ガイドライン(通則編)では、より広い概念である「従業者」という文言が採用されています。
    「従業者」は、組織内で直接間接に企業の指揮監督を受けて企業の業務に従事している者を指すとされており、雇用関係にある正社員や契約社員、パート社員に加えて、雇用関係ではない理事、監事、派遣社員なども「従業者」に含まれます。(ガイドライン(通則編)3-4-3)

    従業員の教育としての研修は、どのような形式で行うのがよいでしょうか?
    法制度の説明を一方的に講師が話すだけの研修は、従業員からの評判が悪いですし、実効性が乏しいように見えます。

    講師による一斉研修やeラーニングは、効率が良いものの、退屈に感じてしまう従業員が出てきてしまうのは、ある程度避けられません。
    内容に関する工夫としては、例えば、ニュースで報道された他社の漏洩事例を紹介すると、「明日は我が身」との思いから引き締まった研修となることが多いです。
    また、研修の方法に関する工夫としては、少人数でのディスカッションをさせることも有効です。
    「顧客から個人情報が漏洩しているのではないかとのクレームを受けた」など、その企業の事業内容に即した事例をもとに少人数のグループで検討してもらうと、自分事としての意識が高まります。

    (3)物理的安全管理措置とは

    5種類の安全管理措置の3つ目として挙げられた「物理的安全管理措置」とは何ですか?

    物理的安全管理措置とは、個人情報を取り扱う設備や媒体など、目に見える物に関して行う安全管理措置のことです。

    物理的安全管理措置として「講じなければならない措置」は何ですか?

    物理的安全管理措置として「講じなければならない措置」は以下の4つです。
    それぞれの手法の例示については、ガイドライン(通則編)を参照してください。

    項目名称 講じなければならない措置
    1.個人情報を取り扱う区域の管理 個人情報を取り扱うサーバやメインコンピュータなどの重要な情報システムを管理する区域について、それぞれ適切な管理を行わなければならない。
    2.機器及び電子媒体等の盗難等の防止 個人情報を取り扱う機器や電子媒体、書類などの盗難または紛失などを防止するために、適切な管理を行わなければならない。
    3.電子媒体等を持ち運ぶ場合の漏洩等の防止 個人情報が記録された電子媒体または書類等を持ち運ぶ場合、容易に個人情報が判明しないよう、安全な方策を講じなければならない。
    4.個人情報の削除及び機器、電子媒体等の廃棄 個人情報を削除しまたは個人情報が記録された機器、電子媒体などを廃棄する場合は、復元不可能な手段で行わなければならない。

    (参照:ガイドライン(通則編)10-5)

    1番の区域の管理は、具体的にどのように行えばよいのでしょうか?

    個人情報を保存するデータサーバーのサーバールームなどを「管理区域」、データサーバーにアクセスして個人情報を取り扱う執務スペースを「取扱区域」と定義し、それぞれに適合する管理方法を定めるのが一般的です。
    「管理区域」については、IDカードによる入退室管理や持ち込み可能な機器の制限が考えられます。
    「取扱区域」についても、「管理区域」と同様のセキュリティを確保すれば盤石ですが、個人のお客様への対応が頻繁に発生するということであれば非現実的かもしれません。
    業務内容によっては、パーテーションの設置などにより、アクセス権限を有しない従業員の閲覧を防止することで十分とする、という判断もあり得ます。
    この場合は、離席時にパソコンをロックするなどのルールも併せて制定することにより、他の従業員の閲覧防止を図ることが望ましいです。
    (ガイドライン(通則編)10-5、Q&A10-16)

    (4)技術的安全管理措置とは

    5種類の安全管理措置の4つ目として挙げられた「技術的安全管理措置」とは何ですか?

    技術的安全管理措置とは、アクセス制御、ファイアウォール設定など、個人情報を取り扱うシステム上で利用するセキュリティ技術に関して行う安全管理措置のことです。
    そのような定義の性質上、紙・書類による個人情報の管理は、技術的安全管理措置の対象外となります。
    (Q&A10-17)

    技術的安全管理措置として「講じなければならない措置」は何ですか?

    技術的安全管理措置として「講じなければならない措置」は以下の4つです。
    それぞれの手法の例示については、ガイドライン(通則編)を参照してください。

    項目名称 講じなければならない措置
    1.アクセス制御 担当者や取り扱う個人情報データベースなどの範囲を限定するために、適切なアクセス制御を行わなければならない。
    2.アクセス者の識別と認証 個人情報を取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
    3.外部からの不正アクセス等の防止 個人情報を取り扱う情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。
    4.情報システムの使用に伴う漏洩等の防止 情報システムの使用に伴う個人情報の漏洩などを防止するための措置を講じ、適切に運用しなければならない。

    (参照:ガイドライン(通則編)10-6)

    「アクセス制御」「アクセス者の識別と認証」とは何でしょうか?

    個人情報にアクセスする際に、従業員IDとパスワードによるログインを求めたり、従業員ごとにアクセスできるデータベースを限定したりすることです。
    何をどこまで実施するかは、セキュリティ対策に費やすことのできる予算次第ですので判断が難しいところですが、具体的な対応案については、Q&A10-18、10-19を参照してください。

    (5)外的環境の把握とは

    5種類の安全管理措置の5つ目として挙げられた「外的環境の把握」とは何ですか?

    外的環境の把握とは、外国において個人データを取り扱う場合に、その国の個人情報の保護に関する制度等を把握することです。

    「外国において個人データを取り扱う場合」とは、どのような場合ですか?

    外国の委託先事業者に個人情報の取扱いを委託する場合、外国の事業者が提供するクラウドサービスを利用する場合などを指します。
    (Q&A10-22)
    個人情報の取扱いに関し、委託先国の法制度による影響を受けるリスクがあることから、そのようなリスクを把握することが求められています。
    外国にある第三者への個人情報の提供との関係など、難解で、よくご相談を受ける論点ですので、また別のコラム記事を作成して整理したいと思います。

    安全管理措置の内容を公表する義務はありますか?

    はい。
    ただし、「公表」が義務付けられているわけではなく、「本人の知り得る状態に置く」ことができていれば十分です。
    個人情報保護法の条文でも、「本人の求めに応じて遅滞なく回答する場合を含む」と明記されています。
    そのため、ホームページに掲載する方法などで「公表」することは必須ではありません。
    問合せ窓口を設けて口頭または文書で回答できる体制を構築しておけば、「本人の知り得る状態に置く」の要件をみたします。
    (ガイドライン(通則編)3-8-1)

    安全管理措置を公表したり、「本人の知り得る状態に置く」措置を講じたりするというのは、ハッカーに手の内を晒すようで抵抗感があります。
    公表などを行わなくて良い場合はありますか?

    本人の知り得る状態に置くことで、安全管理に支障を及ぼすおそれがあるものについては、公表などを行う必要はありません。
    例えば、外部からの不正アクセス・不正ソフトウェアから保護する仕組みを導入している場合に、どのメーカーのどのようなソフトウエアを導入しているのかといったことが「安全管理に支障を及ぼすおそれがある」事項に当たります。
    安全管理措置の具体的な手法や内容を公表するとかえって個人情報を安全に管理できなくなってしまうおそれがあるからですね。
    他にも個人情報管理区域の入退室管理方法やアクセス認証手法、盗難防止措置の具体的な手法などが「安全管理に支障を及ぼすおそれがある」事項の例として考えられます。
    (個人情報保護法32条1項4号、施行令10条1号括弧書、ガイドライン(通則編)3-8-1)

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    この記事をシェアする

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。