改正個人情報保護法が2022年4月に全面施行されることになり、従業員による個人情報漏洩事故が発生した場合で影響が大きいと認められるものについては、企業は個人データ取り扱い事業者として個人情報保護委員会に対して報告義務を負うことになりました(従来は努力義務)。
これにより企業は民事上や刑事上の責任だけでなく、行政当局に対しても直接的な義務を負うことになります。企業が情報漏洩事故に対してさまざまな方面から備えをするためのコストは人的な対応の部分を含め、ますます大きくなる状況といえそうです。
そこで今回は、改正法とテレワーク環境におけるセキュリティ対策のポイントについてまとめたいと思います。
改正個人情報保護法による通知・報告の義務化
改正個人情報保護法上の報告義務の範囲
今回の個人情報保護法改正では、個人情報保護委員会規則により定められた以下の表のような事態が発生した場合や発生するおそれがある場合には、速やかに当該委員会への報告と、本人への通知が義務付けられました。特に要配慮情報の漏えいの場合には、1件以上の要配慮個人情報※の流出で報告義務と本人への通知義務が発生します。
個人情報保護委員会への報告及び個人への通知が義務付けられる場合
- 1
要配慮個人情報※が含まれる個人データの漏洩、滅失もしくは毀損
- 2
不正に利用されることにより財産的被害が生じる恐おそれのある個人データの漏洩が発生、または発生するおそれ
- 3
不正の目的をもって行われたおそれのあす個人データの漏洩が発生、または発生のおそれ
- 4
個人データに係る本人の数が1000人を超える漏洩の発生、または発生するおそれ
- ※要配慮情報とは本人の人種、信条、社会的身分、病歴、犯罪の経歴など、あらかじめ本人の同意を得ないで取得することが禁止されている情報です。
テレワーク環境下で情報漏洩が起こりやすい5つの場面
最近はテレワークの進展により、オフィス以外のさまざまな場所や機器を使って仕事をする機会が増え、個人情報漏洩の危険性が高まっています。
一方企業には個人情報保護法上の使用者の義務として、安全管理措置義務(法20条)、従業員に対する監督義務(法21条)を負っているため、こうした環境の変化にも柔軟に対応していくことが求められています。最近の統計資料などにより、情報漏洩が発生しやすい場面としては、以下の5つが考えられます。
テレワーク環境下で効果的なセキュリティ対策
総務省が出しているテレワークセキュリティガイドラインでは、「ルール、人、技術」の面からのバランスの取れた施策がセキュリティ対策として効果的であると記載されています。
「ルール」とは「こうやって仕事をすれば安全を確保できる」 という仕事のやり方を定めることで、 テレワークを行う場合、オフィスとは異なる環境で業務を行うことから、そのセキュリティ確保のために新たなルールを定めることが効果的です。
「人」とは、ルールを定着させる教育や啓発活動を指し、ルールの趣旨を自ら理解し、自覚してもらうことが重要です。
そして「技術」とは「ルール」や「人」では対応できない部分を補完するもので、テレワークの活用方法を踏まえつつ、利便性とセキュリティのバランスをとった対策を講じる必要があります。
