個人情報漏洩
個人情報漏洩の第一報を受ける
「もしもし、掲示板を見ていたらおたくの会社名と個人データが数件掲載されていたのですが」

「情報連絡ありがとうございます。弊社の個人情報保護責任者に代わりますので、そのままお待ちいただけませんか。」

「○○社、個人情報保護責任者の△△です。情報提供いただきありがとうございます。申し訳ありませんが、まずその掲示板のURLを教えていただけませんか。...」

個人情報保護法への準備は進んでいますか。

個人情報漏洩を防げたら一番よいのですが、万が一漏洩した場合にも備えておきましょう。上記のような電話がかかってきた時にもあわてず騒がず対応できることが大切です。

その前に従業者の監督についてみてみましょう。実は中小企業、大企業に限らず退職理由で多いのが人間関係です。上司とあわない、社長とはもうやっていけない等、理由は様々ですが不本意な形で退職した人物の中には「俺を評価しない会社に迷惑をかけてやれ」という確信犯がいないとも限りません。

▼ほとんどの人が不平不満を理由に転職
退職理由をクリアする 「転職のノウハウ」ガイド記事

従業者の監督

個人情報保護法に「個人事業取扱事業者は従業者に対し必要かつ適切な監督をしなければならない。」と定められています。

ここでいう従業者とは正社員だけとは限りません。契約社員、パート社員、嘱託社員、派遣社員、アルバイトも含まれます。

前回のガイド記事、『個人データ取扱台帳を作る』で個人データ取扱規定を定める必要があると書きましたが、定めただけでなく、きっちり守られているかモニタリングする必要があります。

個人データの入ったサーバーへのアクセスログを定期的に確認する。人間系ではチェック表の項目の記載や確認者の検印など、きっちり運用されているかチェックする等、色々なモニタリング方法がありますが定期的に行うことが大切です。

極端な例では、社内にWebカメラを設置して録画する等です。ただし、従業者にとって監視されているようではモラルダウンになる恐れがあります。いきなりやるのでなく、事前に説明をして、しっかり目的を理解してもらう必要があります。

また冒頭にもありますが退職者は要注意です。退職が決まれば、個人情報等を全部回収する。使っていたIDを破棄するのはもちろんですが、個人データの機密保持誓約書もとり心理的に抑止が働くようにします。

従業者だけとは限りません


個人情報漏洩してしまった注意しないといけないのが従業者ではなく、個人データを保有する建物内に立ち入る可能性がある者です。例えばコピー機やパソコン、空調の保守関係者、清掃担当者、警備員、植木交換の花屋、ヤクルトのおばさん等です。

彼や彼女らの動く動線上に個人情報を放置していませんか?

先日もある会社のオフィスを歩いていると、机の上のパソコンに電話番号や個人名の入ったポストイットなどがベタベタと張ってありました。

もう一度、オフィスがどういう状態で個人情報管理されているか再チェックしてください。

委託先の監督

委託先で個人情報漏洩事件が発生した時に「委託先が勝手にやったことで。」と委託元は言えません。

個人データの取り扱いの全部または一部を委託する場合は、委託側が必要かつ適切に管理しなければならないと個人情報保護法に定められています。

そこで委託契約書に下記のような項目を記載する必要が出てきます。

・個人データの利用の制限
・個人データに関する秘密保持
・個人データの安全管理措置
・個人データの再委託に関する事項
・委託契約終了時、個人データの返却及び消去
・委託先の個人情報保護責任者
・個人情報漏洩が発生した時の連絡体制

また委託元が委託先がきちんと行っているかモニタリングが必要なのは従業者と同じです。

さて、しっかり運営していましたが、とうとう個人情報漏洩が発生してしまいました。