- 2024年 4月 8日
-
-
-
Loading
Loading
世界のプライバシー保護規制対応を支援するサイト
個別説明をお申込希望の方
個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください
*のある項目は入力必須です。
【目 次】
・手術動画提供事件とは?
・個人情報保護委員会【「医療機関における個人情報の取扱い」に関する注意喚起】のポイント
・尼崎市USBメモリ紛失事件とは?
・尼崎市USBメモリ紛失事件の問題点と改善策のポイント
・ベネッセ個人情報漏えい事件―個人情報保護法が発生した場合のコスト・リスクは深刻です。
・個人情報保護委員会による罰則も看過できません。
個人情報保護法違反事件の発生による膨大なコスト、ブランド毀損リスク
―それは対岸の火事ではありません。
ビズりす:近時、個人情報保護法違反に関連する事件が後を絶たず、個人情報保護委員会による複数の行政上の対応が実施されています。
しかし、これらの事件は対岸の火事ではありません。
従業者の故意・過失による個人データ漏えい、委託先の監督不備、利用目的の通知・公表に関する問題…いずれの事件も、個人情報を取り扱う企業であれば、いつでも起こりうることを原因として発生しています。そして、このような事件が発生した場合、訴訟コストを含む膨大なコストが発生するだけでなく、深刻なブランド毀損リスクも引き起こしかねません。
では、このようなコスト・リスクを回避するために、企業としてどのような対応をすればよいのでしょうか。
このブログでは、近時、個人情報保護委員会が行政上の対応を公表した個人情報保護法違反事件2件(手術動画提供事件/尼崎市USBメモリ紛失事件)を例に、私、ビズりすが、企業における個人情報保護法違反に対する実務対応のポイントを解説していきたいと思います。
手術動画提供事件
手術動画提供事件とは?
医療機器メーカーであるA社は、複数の医療機関から、眼科手術の術野を記録した手術動画(以下「手術動画」)を取得していました。A社としては、手術動画について個人を特定できる情報を含まない状態での取扱いを想定していたものの、実際には、同社内の周知不備のため、一部の手術動画に患者本人の氏名等が記録されていました。一方、手術動画を個人データとして提供していた医療機関の一部について、●第三者提供に関する患者本人の同意を取得していない、●医師が医療機関に無断で提供しているといった事態も判明しました。これが、手術動画提供事件の概要です。
この手術動画提供事件を受け、個人情報保護委員会は、A社及び複数の医療機関に対し、行政上の対応(法144条に基づく指導)を実施しました。
個人情報保護委員会【「医療機関における個人情報の取扱い」に関する注意喚起】のポイント
さらに、個人情報保護委員会は、前述の行政上の対応に加え、【「医療機関における個人情報の取扱い」に関する注意喚起】と題する文書を公開しました。その主な内容は以下のとおりです。
→手術動画の撮影に当たって、利用目的の特定・通知・公表等が必要(法17、21条。手術動画を第三者に提供することを想定している場合には、その旨が明確に分かるような利用目的を本人に通知又は公表することが必要)
→あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて手術動画を取り扱ってはならない(法18条。目的外利用の原則禁止)。
→手術動画の第三者提供に当たって、原則本人の同意が必要(法27条1項)
→個人情報等の取扱いに係る規律の整備、組織体制の整備・従業者に対する監督等、必要かつ適切な安全管理措置を講じる必要(法23条、24条)。
⇔なお、手術動画が「個人データ」に該当しない場合であっても、手術動画の機微性を踏まえた適切な管理を行うことが重要
この注意喚起は主に手術動画に関するものですが、一般的に個人情報を取り扱う際に注意すべき点が多く含まれており、非常に参考になります。 では、1、2を順番に説明します。
まず、1について。
身体の一部を撮影した手術動画のように、単体では特定の個人を識別できない情報は数多くあります。生年月日、住所、クレジットカード番号もその例です。しかし、このような情報についても、特定の個人を識別できる他の情報(氏名、顔写真等)と容易に照合できる場合は、「個人情報」に該当します。したがって、当該情報を取り扱うに当たっては、個人情報保護法の「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守しなければならないということになります。
次に、2について。
個人情報保護法は、その「個人情報」が「個人データ」にも該当する場合、「個人情報」に関する規律に加え、「個人データ」に関する規律(安全管理措置の実施義務、第三者提供の制限等)を遵守すべきことを定めています。
ここで、「個人データ」とは、「個人情報データベース等(特定の個人を検索できるように体系的に管理されている個人情報を含む情報の集合物)を構成する個人情報」をいいます。つまり、「個人データ」は「個人情報」の一種といえるのですが、法は、単なる「個人情報」に比べて個人の権利利益を侵害する可能性が高いことから、「個人データ」について「個人情報」よりも多くの義務を課しているのです。
実は、今回の手術動画については、「個人データ」に該当するものとそうでないものがありました。「個人データ」に該当する手術動画については、「個人データ」に関する規律を遵守すべきことは当然といえますが、注意喚起では、手術動画の機微性に着目して、(「個人データと同様の安全管理措置の実施や第三者提供制限への対応を実施することが必要」とまでは明言しないものの)「個人データ」に該当しない手術動画についても適切に管理することが重要だと指摘しています。
実務対応の観点からみますと、機微性の高い個人情報を取り扱う場合は、当該情報が「個人情報」か「個人データ」であるか否かを問わず、適切な安全管理措置を実施し、第三者提供制限も遵守することが望ましく、かつ、現実的な対応だと考えられます。
【個人情報保護委員会の注意喚起のポイント】
⇒その情報を取り扱うに当たって、「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守する必要あり!
尼崎市USBメモリ紛失事件
尼崎市USBメモリ紛失事件とは?
尼崎市は、住民税非課税世帯等に対する臨時特別給付金支給事務に関する保有個人情報の取扱い(以下「本件業務」)を、X社に委託していましたが、同社はさらに、本件業務をY社に委託していました。Y社の従業員が、データ移管作業のため、尼崎市全住民の住民基本台帳の情報(約46万件)等の個人情報が保存されたUSBメモリ(以下「本件USBメモリ」)を尼崎市市政情報センターから持ち出したのですが、作業完了後に飲食店に立ち寄り、帰宅途中に本件USBメモリを入れたかばんを紛失してしまいました。これが、尼崎市USBメモリ紛失事件の概要です。
尼崎市USBメモリ紛失事件の問題点と改善策のポイント
尼崎市USBメモリ紛失事件は、直接的には、従業者の不注意による紛失を原因として発生していますが、個人情報保護委員会による行政上の対応を通じ、X社とY社にも多くの問題点があることが明らかになっています。
◆ なぜ、従業者の不注意による紛失を防ぐことができなかったのか―
そして、
◆ どうすればこれを防ぐことができたのか―
従業者の不注意による個人データ漏えいは、どのような企業においても起こり得る事態です。この事件におけるX社とY社の問題点、そして問題点に対する改善策を検討することで重要な示唆が得られます。
以下の表で、本件の問題点と改善策のポイントをまとめました。
・セキュリティ専門組織を新設し、継続的にセキュリティ対策状況の妥当性を審査・モニタリングする体制を構築
・グループ企業の全従業者及び委託先に対して、教育研修を実施(今後も定期的に実施予定)
・新設したセキュリティ専門組織が個人データの取扱いの委託に関する継続的なモニタリングを実施
・年に一度、全ての従業者に対して、情報セキュリティ研修を実施
この表からは、X社、Y社いずれにおいても、規律に従った運用・安全管理措置を行うための組織的安全管理措置、従業者に個人データの適正な取扱いを周知徹底するための人的安全管理措置、そして、委託業務に係る個人データの取扱いを管理するための委託先の監督が不十分であったことがうかがえます。
これらの問題点に対して両社が行った改善策は、従業者・委託先による漏えいについて、企業が実施すべき対策のポイントといえるでしょう。以下の表を参考に、自社にとって必要な対策は何かを今一度ご確認ください。
【尼崎市USBメモリ紛失事件から学ぶ 従業者・委託先による漏えい対策のポイント】
□ 部長級の役職者によるセキュリティ対策状況の定期的確認
□ セキュリティ専門組織の設置
□ セキュリティ専門組織によるセキュリティ対策状況の審査・モニタリングの実施
□ 従業者に対する定期的な研修の実施
□ 個人データの取扱状況等について従業者からの定期的な聞き取りの実施
□ 個人データを取り扱う業務を入退室管理区域に限定
□ 電子媒体の保管庫の施錠管理>
□ 個人情報の取り扱いを伴う業務の委託に関する総点検の実施
□ セキュリティ専門組織による委託先の定期的な監査
□ 委託先に対する研修の実施
個人情報保護法違反が発生した場合の企業のコスト・リスク
ベネッセ個人情報漏えい事件―個人情報保護法が発生した場合のコスト・リスクは深刻です。
個人情報保護法違反事件が発生した場合、その事件に関連する企業において、訴訟コストを含む膨大なコストや深刻なブランド毀損リスクが発生する可能性があります。
例えば、2014年に発生したベネッセ個人情報漏えい事件。
これは、ベネッセの子会社の業務委託先の従業員が、ベネッセの顧客の個人情報(氏名、性別、住所、電話番号等)約2,900万件を不正に持ち出し、複数の名簿業者に売却した事件です。この件について、ベネッセは、漏えいが確認された顧客に対し、お詫びの品として500円分の金券を交付しましたが、不法行為に基づく慰謝料等の支払を求める訴訟が複数の裁判所に提起される事態となっています。
直近では、現在提起されている集団訴訟の一つについて、東京地裁が、ベネッセに対し、慰謝料を含む総額約1,300万円(原告のうち4,027名について一人当たり慰謝料3,000円)の支払を命じる判決を下しました(2023年2月27日)。これは地裁レベルでの判断であり、今後の動向を注視する必要があるものの、本件の一連の動きをみれば、個人情報が漏えいした場合に、関係事業者に深刻な訴訟リスク、ブランド毀損リスク等が発生することは明らかといえるでしょう。
個人情報保護委員会による罰則等も看過できません。
上記のような民事上の損害賠償責任追及のほか、個人情報保護法に違反した場合、個人情報保護委員会により、罰則を含む措置がとられるリスクがあります。
【個人情報保護委員会による罰則等の措置 概要】
※2・3→違反行為者を罰するほか、法人に対しても一億円以下の罰金
このような罰則を含む措置が取られた場合、これに対応するためのコストは極めて大きなものとなるでしょう。
企業が多大な努力の末に積み上げた実績と信頼が、たった一つの個人情報保護法違反により一瞬で失われる―
そのような事態を絶対に起こさないためには、企業の皆様において、個人情報の取扱い対する意識改革・個人情報保護法違反の防止策に継続的に取り組むことが必須となります。これまでにご紹介した事例をご参考に、個人情報の取扱いについて点検、評価、改善等を実施し、個人情報の適正な取扱いを確保していただければ幸いです。
事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ
それでは、最後に、事例から学ぶ個人情報保護法違反への実務対応をまとめます!
【事例から学ぶ企業における個人情報保護法違反への実務対応 まとめ】
⇒その情報を取り扱うに当たって、「個人情報」に関する規律(利用目的の通知・公表、目的外利用の原則禁止等)を遵守する必要あり!
【組織的・人的安全管理措置】
□ 部長級の役職者によるセキュリティ対策状況の定期的確認
□ セキュリティ専門組織の設置
□ セキュリティ専門組織によるセキュリティ対策状況の審査・モニタリングの実施
□ 従業者に対する定期的な研修の実施
□ 個人データの取扱状況等について従業者からの定期的な聞き取りの実施
【物理的・技術的安全管理措置】
□ 個人データを取り扱う業務を入退室管理区域に限定
□ 電子媒体の保管庫の施錠管理
【委託先の監督】
□ 個人情報の取り扱いを伴う業務の委託に関する総点検の実施
□ セキュリティ専門組織による委託先の定期的な監査
□ 委託先に対する研修の実施
企業の皆様の取組みを、BizRisとビズりすが、これからも全力で応援いたします!!!
【個人情報保護法違反に関連するBizRisニュースはコチラ↓↓↓】◆個人情報保護委員会 医療機関における個人情報の取扱いについて注意喚起
◆個人情報保護委員会 尼崎市USBメモリ紛失事案に関する行政上の対応を公表
◆ベネッセ個人情報漏えい集団訴訟 東京地裁が約1,300万円の支払を命じる判決
【ネコ殿も登場するビズりすのブログはコチラ↓↓↓】
◆プラれぽは 冬ぞぬくもりまさりける――ビズりす×ネコ殿 ♨年中ホット♨世界のプライバシー保護規制調査レポート(プラれぽ)ランチ会開催です♪
【ネコ殿】