情報の価値が高まる中、個人情報や機密情報などについて企業ではその扱いに苦慮する事態も徐々に増えています。情報・データは企業にとって資産であると同時に、情報漏えいや流出などの大きなリスクにもつながっているためです。
これら情報の扱いについては、情報セキュリティ担当者だけが認識・対処していれば良い問題ではありません。あらゆる業務で関連があるため、企業全体として保護への取り組みが必要とされます。
個人情報保護を企業全体に浸透させる手法の一つに、研修の実施があります。本記事では個人情報保護への取り組みとして研修の必要性、メリット、個人情報の保護に関するヒヤリハット・裁判事例などを紹介します。
また、個人情報保護研修を効率的・効果的に実施したい企業様には、情報セキュリティ教育クラウド「セキュリオ」でのeラーニング教育がオススメです。
- 80種類以上の中からの教材選定
- ボタン一つで教材・テスト配信
- 自動集計された受講結果・採点結果の確認
という3ステップでの従業員セキュリティ教育が可能です。
もちろんPマーク教材も多数取り揃え、他にも標的型攻撃メール訓練、セキュリティトレーニングを通じた従業員のセキュリティレベルアップが実現できます。
個人情報の定義についておさらい
個人情報とは、どの様な情報が該当するのでしょうか。
あらためてその定義から確認しておきましょう。
「個人情報」とは特定の個人を識別できる情報と個人情報保護法にて定められています。より具体的には、「氏名、生年月日、住所、顔写真など」とされており、さらに「他の情報との照合により個人が特定できる情報(生年月日や住所、電話番号など)」も個人情報にあたります。
出典:個人情報保護法第一章二条
さらに、個人情報に該当する情報として、特定の仕組み上の番号や体の一部を示すデータがあります。
●特定の仕組み上の番号
- パスポート番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- マイナンバー
- 保険者番号など
●身体の一部を示すデータ
出典:個人情報保護法第二条
- 顔認証データ
- 指紋認証データ
- 虹彩
- 声紋
- 歩行の態様
- 手指の静脈
- 掌紋など
要配慮個人情報とは
個人情報の中でも、他人に公開された場合に、本人が不当な差別や偏見などの不利益を被らないように取扱いに特に配慮すべき情報は要配慮個人情報と呼ばれます。その名の通り、取り扱いには充分な配慮を行う必要があります。
要配慮個人情報の具体例として、下記が該当します。
出典:個人情報保護法第二条第3項
- 本人の人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの
個人情報の保護に研修は必要か
個人情報の取り扱いを行う事業者において、教育のための研修が必要となる理由を説明します。
個人情報を取り扱うリスク
各種の情報(データ)は企業の資産として重要性が高まりを見せています。例えば、データを集積・分析し、事業に役立てるデータサイエンスやビッグデータという技術はDXの実現手法の一つです。
一方で、情報の漏えいや流出が発生した場合には、企業は大きな痛手を負うというリスクについても浸透してきています。企業は大きく信頼を損ない、損害賠償などにつながるケースが増えていることも事実です。
その中でも重要視されるのが企業の機密情報と個人情報です。
問題が発生すれば企業の情報セキュリティへの取り組みやコンプライアンスが問題視されます。この大きなリスクに対しては、事前に対策をとっておく必要があるといえるでしょう。
個人情報保護法の改正に伴う対応として
2017年から適用された個人情報保護法の改正では、個人情報を取り扱うすべての事業者に個人情報保護法が適用されるようになりました。情報管理の義務化ともいえるものです。
この個人情報保護法への対応は、企業の中で情報システム部門や個人情報を扱う部門だけが行えば良いというものではありません。今や情報の取り扱いは、業務上のあらゆるシーンで見られるため、情報の漏えいや流出は、個人情報を取り扱いうる全ての業務で発生すると考えなければなりません。
個人情報の取り扱いのある企業においては、すべての従業員(組織の構成員)が正しい知識と認識をもって業務に取り組むことが必要とされます。全従業員に個人情報の取り扱いを認識してもらう場合には、情報セキュリティ管理者のメールや書面による通知、周知だけでは不十分です。
より情報の浸透が図れる研修形式によって、実施することが推奨されます。
こうした内容を適切に従業員に教育するためには、適切な教材の準備が必要になります。「セキュリオ」は、ISMS/Pマークコンサルタント監修の教材が80種類以上に加えて毎月最新の教材が無料でご利用いただけます。
個人情報保護研修のメリット
個人情報保護法に関して、従業員へ研修を行って教育を行うことには、下記のメリットがあります。情報の周知だけでは得られない、より深い認識を従業員に持たせることが可能です。
- 個人情報保護に関する正しい知識の周知ができる
- コンプライアンス遵守意識の浸透
- 組織全体での個人情報取り扱いスキルの底上げが図れる
- 個人情報の漏えいや流出といった問題点へ予防となるケアが図れる
個人情報保護におけるヒヤリハットや裁判事例
個人情報保護法の取り扱いを誤った場合、どの様な影響が出てしまうのでしょうか。本項では、個人情報保護に関連したヒヤリハット、裁判事例についてご紹介します。
ヒヤリハット
実際に問題発生にまでは至らなかったものの、個人情報語法に抵触する直前まで進んでしまったヒヤリハット事例について紹介します。
- 社内の掲示板への共有資料に個人番号管理情報を掲示しそうになった
- 個人情報の記載された書類を誤って破棄しそうになった
- 業務上の資料にマイナンバーが写った写真を貼ってしまうところだった
- マイナンバーの提出を求める不審な問い合わせに情報を提出しそうになった
- 業務の委託先が個人情報の取り扱い特定業者ではなかった
- 従業員の年末調整用のデータが入ったUSBメモリを紛失しそうになった
- 経費削減のために利用していた裏紙に個人情報の記載があった
裁判事例
業務において扱っていた個人情報の流出・漏えいにより多大な被害が発生し、裁判にまで発展してしまった問題について紹介します。
ベネッセ個人情報流出事件
2014年に発生した大規模な個人情報の漏えい事件。子供向け教育サービスを展開するベネッセ社が3,504万件の個人情報を流出させた。同社のシステム開発を担当する企業の従業員に個人情報が持ち出され、名簿業者3件に売却されていた。漏えいした個人情報には、登録者およびその子供の名前、性別、生年月日、電話番号、メールアドレスなどが含まれていた。
本件については、刑事訴訟、民事訴訟、株主代表訴訟が行われている。企業は各被害者に500円の金券をお詫びの品として配布している。また、その影響として同社は会員を100万人近く失い、2年連続で赤字を計上している。
TBC顧客情報流出事件
2002年に発生した顧客の個人情報漏えい事件。メンズビューティーサロン東京ビューティーセンター(TBC)の顧客情報が流出したもの。
当時は個人情報保護法施行前だったが、事業者による情報漏えいに責任を認め、訴えを起こした原告13名に対しそれぞれ3,5000円、2,2000円の賠償金支払いが命じられている。個人情報を取り扱う企業において、情報の管理への損害賠償責任が認められた。
YahooBB顧客情報漏えい事件
2004年、ソフトバンク社によりYahoo!!BBの顧客個人情報が流出したことが発表され、最終的には450万人の情報が流出したと報告された。
社内での不正アクセスによるもので、ソフトバンクBBによれば最終的に被害総額は100億円に登ったという。複数いた犯人には実刑判決が下されており、被害者による損害賠償請求も損害賠償責任が認められた。
個人情報保護研修の資料作成に役立つデータ
個人情報保護研修において使用する資料の作成では、正確性と企業全体が取り組める実用性が重視されます。官公庁の発行している信頼性の高い資料を利用することで研修資料の精度を向上させることが可能です。
本項では国によって平成28年に設置された、個人情報保護委員会による資料を紹介します。
- 全体的な研修向けの資料
- 特定個人情報の適正な取扱いのための各種研修資料
- 適正な取扱いのポイント(各論)
- 特定個人情報等のデータ入力業務の委託先に対する監督について
- その他リンク集
- 「行政機関等及び地方公共団体向け」個人情報保護委員会
個人情報保護研修なら「セキュリオ」
情報セキュリティ教育クラウド「セキュリオ」では、各種法令に関するeラーニングコンテンツを提供しています。サービス内には複数の個人情報保護向けのeラーニングコンテンツがあり、こちらを利用して従業員向けの研修の実施が可能です。コンテンツは80種類以上用意されており、毎月無料で新規コンテンツを配信しています。
こちらで教材サンプルをご覧になれます。
「セキュリオ」のeラーニングはスマホでも利用が可能で、従業員全体への徹底が必要となる個人情報保護に向けて相性の高いサービスです。管理者向けには研修の実施状況も自動で提供されており、教育への管理も効率化を図ることができます。
ISMSやPマークにも対応した「セキュリオ」は情報セキュリティ意識向上、認証運用支援、セキュリティ可視化に向け多数の機能を備えた情報セキュリティ支援サービスです。SaaSのため環境構築も不要ですぐに始められる情報セキュリティ対策となっています。
まとめ
あらゆる業種、業務で扱う可能性の高い個人情報ですが、その重要性の高さから取り扱いには配慮が必要です。
個人情報保護法の制定、改正など法整備が進められており、企業では全従業員に向けて周知と遵守に向けた教育が必要となるため、研修などの手法を用いることが推奨されます。特に、場所や時間を選ばずに研修が実施できるeラーニングの活用が効果的です。