個人情報保護法は2022年にも改正され、事業者に対する罰則が強化されるなど、適切な取り扱いを徹底することの必要性が大きいものです。そこで欠かせないのが研修ですが、どのような研修を行うのが適切でしょうか。ここでは、個人情報保護のための研修とそのメリット、進め方および参考データについてご紹介します。
個人情報保護・情報セキュリティ教育の取っ掛かりにお悩みの方は、セキュリティ理解度がテーマごとの設問でチェックできる資料を無料で配布していますので、参考にしてみてください。
個人情報の定義についておさらい
そもそも、個人情報にはどんな情報が該当するのでしょうか。改めて定義から確認してみましょう。
個人情報保護法によると、「個人情報」は、特定の個人を識別できる情報です。より具体的には、「氏名、生年月日、住所、顔写真など」が代表的で、さらに「他の情報との照合により個人が特定できる情報(生年月日や住所、電話番号など)」も広くは個人情報にあたります。
さらに、個人情報に該当する情報として、特定の仕組み上の番号や体の一部を示すデータがあります。
特定の仕組み上の番号
- パスポート番号
- 基礎年金番号
- 運転免許証番号
- 住民票コード
- マイナンバー
- 保険者番号など
身体の一部を示すデータ
- 顔認証データ
- 指紋認証データ
- 虹彩
- 声紋
- 歩行の態様
- 手指の静脈
- 掌紋など
要配慮個人情報とは
個人情報の中でも、他人に公開された場合に、本人が不当な差別や偏見などの不利益を被らないように取扱いに特に配慮すべき情報は要配慮個人情報と呼ばれます。その名の通り、取り扱いには充分な配慮を行う必要があります。
例えば、取得の際には本人の同意が必要であり、また、第三者提供の要件も通常より厳しいものとなります。
誤って取得した場合は、破棄・返送が必要といった留意点もあります。データにマスキングをする・データに通常より厳しいアクセス制限をかけるなどの対策を施している企業も少なくないと思います。
要配慮個人情報の具体例として、下記が該当します。
- 本人の人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの
個人情報の保護に研修は必要か
個人情報の取り扱いを行う事業者において、教育のための研修が必要となる理由を説明します。
個人情報を取り扱うリスク
そもそも企業における情報(データ)は、情報資産として重要性を増しています。例えば、データを集積・分析し、事業に役立てるデータサイエンスやビッグデータという概念はDXの一翼を担い、注目されています。
一方で、情報の漏えいや流出が発生した場合には、企業は大きな痛手を負うというリスクについても浸透してきています。企業は大きく信頼を損ない、損害賠償などにつながるケースが増えていることも事実です。
その中でも重要視されるのが企業の機密情報と個人情報です。
問題が発生すれば企業の情報セキュリティへの取り組みやコンプライアンスが問題視されます。
この大きなリスクに対しては、事前に対策をとっておく必要があるといえるでしょう。
個人情報保護法の改正に伴う対応として
2017年から適用された個人情報保護法の改正では、個人情報を取り扱うすべての事業者に個人情報保護法が適用されるようになりました。情報管理の義務化ともいえるものです。
また、漏えい時の報告義務・不適正な利用の禁止が2022年の改正法では事業者の責務として定められ、罰則も強化されています。
この個人情報保護法への対応は、企業の中で情報システム部門や個人情報を扱う部門だけが行えば良いというものではありません。今や情報の取り扱いは、業務上のあらゆるシーンで見られるため、情報の漏えいや流出は、個人情報を取り扱いうる全ての業務で発生すると考えなければなりません。
個人情報の取り扱いのある企業においては、すべての従業員(組織の構成員)が正しい知識と認識をもって業務に取り組むことが必要とされます。全従業員に個人情報の取り扱いを認識してもらう場合には、情報セキュリティ管理者のメールや書面による通知、周知だけでは不十分です。
より情報の浸透が図れる研修形式によって、実施することが推奨されます。
こうした内容を適切に従業員に教育するためには、適切な教材の準備が必要になります。
弊社サービス「セキュリオ」は、ISMS/Pマークコンサルタント監修の教材が90種類以上に加えて毎月最新の教材が無料でご利用いただけます。
個人情報保護研修の実施手順
個人情報保護研修の実施は、以下の手順を踏んで実施する必要があります。
研修のカリキュラムを作成する
研修の目的を明確にし、その目的に合わせたカリキュラムや教材を作成します。
具体的には、個人情報保護法や個人情報保護方針、個人情報の取り扱いに関する社内ルールなどを網羅的にカバーすることが望ましいでしょう。
研修対象者を決定する
研修対象者を決定し、対象者に応じた研修内容を作成します。従業員の職種や所属部署等によって、求められるセキュリティレベルや知っておくべきセキュリティ領域が異なるためです。
具体的には、新入社員向け・一般社員向けの研修と管理職向けの研修を分けることや、個人情報を取り扱う部署とそうでない部署に分けて実施する、といった区分があります。
研修の形式を決定する
研修の形式を決定し、研修の期間や方法を設定します。具体的には、座学・eラーニング、集中研修など、研修方法は様々あります。
研修を実施する
研修を実施します。
eラーニングや、講師による講義やグループディスカッション、ケーススタディなどを通じて、個人情報保護に関する基本的な知識や企業の個人情報保護方針、個人情報の取り扱いに関するルールを学びます。最後に、到達度テストを行い、知識の確認を行うのも効果的です。
LRMの情報セキュリティ理解度チェックテストも参考にしてみてください。
研修成果を評価する
テスト結果や、受講後のアンケートなどから、研修の成果を評価し、改善点を抽出します。また、研修結果が業務に活かされているか、チェックすることも効果測定において有効な方法です。
研修参加者が実際に業務で個人情報を取り扱った際に、適切に取り扱えているかどうかをチェックすることが考えられます。
以上が、個人情報保護研修の実施手順です。企業や組織が個人情報を適切に管理するためには、社員一人ひとりが個人情報保護に関する知識を持つことが不可欠です。個人情報保護研修を通じて、社員の個人情報保護に対する意識を高めることが大切です。
この従業員教育の一連の流れをPDF資料でお配りしています。抜けもれなく実施できるようダウンロードしておくことをおすすめします。
個人情報保護研修のメリット
個人情報保護法に関して、従業員へ研修を行って教育を行うことには、下記のメリットがあります。情報の周知だけでは得られない、より深い認識を従業員に持たせることが可能です。
- 個人情報保護に関する正しい知識の周知ができる
- コンプライアンス遵守意識の浸透
- 組織全体での個人情報取り扱いスキルの底上げが図れる
- 個人情報の漏えいや流出といった問題点へ予防となるケアが図れる
特に、業務上個人情報の取り扱いを行う部署には、手順・マニュアルレベルでも留意事項が多くあるはずです。個人情報保護研修と、業務研修とをワンセットにする、取り扱い部署向けの研修カリキュラムを特に作成し、実施するなどして、正しい理解をしてもらうことがインシデントの予防に役立ちます。
個人情報保護におけるヒヤリハットや裁判事例
個人情報保護法の取り扱いを誤った場合、どの様な影響が出てしまうのでしょうか。
本項では、個人情報保護に関連したヒヤリハット、裁判事例についてご紹介します。
ヒヤリハット
実際に問題発生にまでは至らなかったものの、個人情報保護法に抵触する直前まで進んでしまったヒヤリハット事例について紹介します。
- 社内の掲示板への共有資料に個人番号管理情報を掲示しそうになった
- 個人番号の記載された書類を、他の書類と誤って破棄しそうになった
- 業務上の資料にマイナンバーが写った写真を貼ってしまうところだった
- マイナンバーの提出を求める不審な問い合わせに情報を提出しそうになった
- 業務の委託先が個人情報の取り扱い特定業者ではなかった
- 従業員の年末調整用のデータが入ったUSBメモリを紛失しそうになった
- 経費削減のために利用していた裏紙に個人情報の記載があった
ヒヤリハットの事例は、他人事と考えるのは適切ではありません。万が一、自社でこうした事象が起こるとしたら、どんな場面が考えられるか、また、どんなルールで防ぐべきことだったのか、検討することにより、利用価値が上がります。
例えば、マイナンバーは法律で定められた目的でしか利用できないことを知っていれば、不審な問い合わせにも気付きやすいでしょう。また、個人情報の記載された書類と、他の書類を適切に分離保管していたら防げるはずのヒヤリハットの事例などは、基本的な取り扱いルールの徹底が課題です。
裁判事例
業務において扱っていた個人情報の流出・漏えいにより多大な被害が発生し、裁判にまで発展してしまった問題について紹介します。
ベネッセ個人情報流出事件
2014年に発生した大規模な個人情報の漏えい事件。子供向け教育サービスを展開するベネッセ社が3,504万件の個人情報を流出させました。同社のシステム開発を担当する企業の従業員に個人情報が持ち出され、名簿業者3件に売却されていたことが原因です。漏えいした個人情報には、登録者およびその子供の名前、性別、生年月日、電話番号、メールアドレスなどが含まれていました。
本件については、刑事訴訟、民事訴訟、株主代表訴訟が行われています。企業は各被害者に500円の金券をお詫びの品として配布しました。また、その影響として同社は会員を100万人近く失い、2年連続で赤字を計上する結果となりました。
TBC顧客情報流出事件
2002年に発生した顧客の個人情報漏えい事件。メンズビューティーサロン東京ビューティーセンター(TBC)の顧客情報が流出したものです。
当時は個人情報保護法施行前でしたが、事業者による情報漏えいに責任を認め、訴えを起こした原告13名に対しそれぞれ3万5000円、1名に2万2000円の賠償金支払いが命じられました。個人情報を取り扱う企業において、情報の管理への損害賠償責任が認められ、過去最高の賠償額が認められたものです。
YahooBB顧客情報漏えい事件
2004年、ソフトバンク社によりYahoo!!BBの顧客個人情報が流出したことが発表され、最終的には450万人の情報が流出したと報告されました。
社内での不正アクセスによるもので、ソフトバンクBBによれば最終的に被害総額は100億円に登ったといいます。複数いた犯人には実刑判決が下されており、被害者による損害賠償請求も損害賠償責任が認める結果となりました。
個人情報保護研修の資料作成に役立つデータ
個人情報保護研修において使用する資料の作成では、正確性と企業全体が取り組める実用性が重視されます。官公庁の発行している信頼性の高い資料を利用することで研修資料の精度を向上させることが可能です。
民間企業向け研修資料として、以下のようなものがあります。
また、行政機関向けの資料ですが、マイナンバーの取り扱いについては以下の資料が役に立ちます。
プライバシーマークの認証機関であるJIPDECの資料も役に立ちます。
個人情報保護研修なら「セキュリオ」
情報セキュリティ教育クラウド「セキュリオ」では、各種法令に関するeラーニングコンテンツを提供しています。サービス内には複数の個人情報保護向けのeラーニングコンテンツがあり、こちらを利用して従業員向けの研修の実施が可能です。コンテンツは90種類以上用意されており、毎月無料で新規コンテンツを配信しています。
教材サンプルを無料公開していますので、ぜひご覧ください。
「セキュリオ」のeラーニングはスマホでも利用が可能で、従業員全体への徹底が必要となる個人情報保護に向けて相性の高いサービスです。管理者向けには研修の実施状況も自動で提供されており、教育への管理も効率化を図ることができます。
まずは無料ではじめませんか?
まとめ
個人情報保護法の改正や、プライバシーに対する社会全般の意識の向上・マイナンバーの利用の拡大をうけて、個人情報保護の必要性は高まっています。
個人情報を取り扱う事業者が社内・組織内での研修を行うことは、個人情報の漏えい・不適切な取り扱いからのインシデントの予防とリスク低減に役立ちます。本稿でご紹介したデータや、eラーニングを利用して、全社的に研修に取り組まれることをおすすめします。
