個人情報漏洩を防ぐためのヒヤリハット事例 個人情報保護委が公表
個人情報の適切な管理は、企業の信頼性維持、事業継続、そして個人のプライバシー保護のために欠かせません。しかし、業務中に、意図せず個人情報の漏洩につながりかねない危険な場面が潜んでいます。個人情報保護委員会が公表している「個人情報保護法 ヒヤリハット事例集」をもとに、事業者が陥りやすい具体的な事例を通して、情報漏洩のリスクを未然に防ぐための注意点を紹介します。
目次
個人情報とは 個人情報保護法の定義を紹介
政府広報オンラインによると、氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。一方、それらの情報を活用することで、行政や医療、ビジネスなど様々な分野において、サービスの向上や業務の効率化が図られています。
個人の権利や利益を守るための「個人情報保護法」が2005年4月に全面施行されました。
個人情報保護法が定める「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
原則として、個人情報を取り扱う者は、個人情報は勝手に使わない、なくさない・もらさない、勝手に他者に渡さない、求めがあれば対応する必要があります。
個人情報保護委がヒヤリハット事例集を公表
個人情報の漏洩事件は後を絶ちません。そこで、個人情報保護委員会は、個人情報取扱事業者向けに、個人情報を取り扱う上で、発生しやすいヒヤリハット事例を紹介し、注意を促しています。
「第三者提供」におけるヒヤリハットと対策
個人情報の第三者提供とは、個人が特定できるデータを社外の第三者に提供することを指しますが、本人の同意なしに提供することは禁じられています。
↓ここから続き
事例:生徒間のトラブルにおける保護者への連絡先提供
学習塾で生徒間のトラブルが発生し、生徒Aが生徒Bにケガをさせてしまいました。生徒Aの保護者は生徒Bとその保護者に謝罪するため、学習塾に生徒Bの連絡先を教えてほしいと尋ねました。学習塾では、生徒名簿に記載されている生徒Bとその保護者の氏名、住所、電話番号を教えそうになりました。
【ヒヤリハット】 生徒Bとその保護者の同意を得ずに、生徒Aの保護者に連絡先(個人データ)を提供しようとした点に注意しましょう。
【対策】 原則として、個人データを第三者に提供する場合には、あらかじめ本人の同意が必要です。謝罪したいという理由であっても、本人の同意なしに個人データを提供することは許されません。このケースでは、まず生徒Bとその保護者に連絡を取り、連絡先を提供しても良いか同意を得るべきでした。
事例:カード会社からの照会による加盟店への連絡先提供
クレジットカード会社に対し、カードホルダーから「請求に誤りがあるようなので確認して欲しい」との照会がありました。クレジットカード会社が調査した結果、処理を誤った加盟店があることが判明しました。クレジットカード会社は、加盟店に対し、直接カードホルダーに請求を誤った経緯等を説明するよう依頼しようと、カードホルダーの連絡先を伝えそうになりました。
【ヒヤリハット】 カードホルダーはクレジットカード会社に調査を依頼したものの、加盟店に連絡先を提供することに同意していたわけではない点に注意しましょう。
【対策】 カードホルダーがクレジットカード会社に連絡先を伝えたのは、あくまでクレジットカード会社からの連絡を受けるためであり、加盟店への提供に同意しているとは限りません。第三者提供を行う前に、本人の同意の有無をしっかりと確認することが重要です。
事例:商品の不具合における製造業者への購入者情報提供
販売業者が販売した商品に異物が混入していたとして、購入者から連絡がありました。その際、販売業者は、製造業者に購入者の連絡先(電話番号)を伝えることについてのみ購入者の了承を得ていましたが、製造業者から代替品を送りたいとの申し出を受けたため、購入者の了承を得ていない住所を伝えそうになりました。
【ヒヤリハット】 電話番号の提供には同意を得ていたものの、住所の提供については購入者の同意を得ていなかった点。同意を得ている範囲を明確に確認することの重要性を示唆しています。
【対策】 個人情報を提供する際には、どこまでの範囲の情報提供に同意を得ているのかを明確に確認する必要があります。目的が変わり、追加の個人データが必要になった場合は、改めて本人の同意を得るべきです。
その他の第三者提供に関するヒヤリハット
会社の営業部に、従業員の親を名乗る者から電話があり、至急子供(従業員)と連絡を取りたいとして、携帯電話番号を教えそうになった事例がありました。社会通念上やむを得ないと思われる場合や、本人の家族・親族等からの照会であっても、原則として本人の同意が必要です。まずは会社から従業員に連絡を取るなどの対応が望ましいとされています。
退職した元従業員の再就職活動先企業から、在籍状況や勤務状況等の問い合わせがあり、答えそうになった事例もあります。退職した従業員に関する情報は個人データであり、本人の同意なしに第三者に提供することは原則としてできません。また、再就職活動先企業が、本人の同意なく過去の勤務先に再就職活動を行っているという個人データを提供することも問題視されています。
第三者提供で重要なポイント
原則として、個人データを第三者に提供する際は、事前に本人の同意を得る必要があります。
- 同意を得る際には、提供する個人データの項目、提供先の第三者、提供の目的などを具体的に伝える必要があります。
- 同意を得た範囲を超えた提供は認められません。
- 人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難な場合など、例外的に同意が不要となるケースもあります。
「利用目的」の意識不足によるヒヤリハットと対策
個人情報保護法は、個人情報取扱事業者が個人情報を取り扱うにあたって、利用目的をできる限り特定し、その利用目的の達成に必要な範囲内で個人情報を取り扱うことが義務付けています。
事例:顧客情報をアルバイト募集に利用しようとしたケース
小売店を経営しており、人手不足のためアルバイトを募集していましたが、なかなか人が集まりませんでした。そのため、店のポイントプログラムに登録している顧客をアルバイトに勧誘しようと思い、事前にその顧客の同意を得ることなく、登録された電話番号に電話をかけそうになりました。
【ヒヤリハット】 顧客向けサービス提供のために取得した個人情報を、アルバイト募集という当初の利用目的とは異なる目的で利用しようとした点。
【対策】 個人情報は、あらかじめ特定した利用目的の範囲内でのみ利用できます。顧客へのサービス提供のために取得した電話番号をアルバイト勧誘に利用することは、一般的に利用目的の達成に必要な範囲を超えていると判断されます。新たな目的で個人情報を利用する場合は、事前に本人の同意を得る必要があります。
利用目的での重要なポイント
- 個人情報を取得する際には、利用目的を具体的に特定し、本人に通知または公表する必要があります。
- 個人情報は、特定された利用目的の範囲内でのみ利用できます。
- 利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲内で行う必要があります。
電子媒体等の取り扱いのヒヤリハットと対策
個人情報が記録された電子媒体や書類の取り扱いは、紛失や盗難、誤廃棄といった漏洩リスクと隣り合わせです。
事例:USBメモリの持ち出しと置き忘れ
顧客Aを訪問するため、社内の所定の手続を行った上で、顧客Aの個人データが記録されたUSBメモリを持ち出しました。用件が終わり帰社しようとしたところ、顧客Bを訪問することを思い付き、一旦帰社することなくそのまま顧客Bを訪問しました。顧客Bを辞去する際、顧客Aの個人データが記録されたUSBメモリが入った封筒を置き忘れそうになりました。
【ヒヤリハット】 本来の目的以外の場所へUSBメモリを持ち出し、置き忘れる危険性が生じた点。
【対策】 個人データが記録された電子媒体は、不必要な持ち出しを避けることが重要です。やむを得ず持ち出す場合は、持出し状況を記録・管理し、暗号化やパスワードによる保護、施錠できる搬送容器の使用などのセキュリティ対策を講じるべきです。
事例:USBメモリの机上放置
顧客リストをシステムで管理していますが、資料作りのためUSBメモリに保存された顧客データをコピーし、作業を行っていました。当日の作業を終えたので、USBメモリを所定の保管場所に戻そうとしましたが、保管場所の鍵を保管している担当者が席を外しており、翌日も続けて作業を行うこととしていたため、自分の机の上に置いて帰宅しそうになりました。
【ヒヤリハット】 個人データが記録されたUSBメモリを、施錠できない机の上に放置し、盗難や紛失のリスクを高めた点。
【対策】 個人データを取り扱う機器や媒体は、盗難・紛失防止のため、施錠できるキャビネットや書庫等に保管する必要があります。執務スペースの整理整頓も、紛失や誤廃棄を防ぐ上で重要です。
電子媒体等の取り扱いで重要なポイント
• 個人データが記録された媒体の不要な持ち出しは避ける。
• 持ち出す場合は、セキュリティ対策を徹底し、持ち出し状況を管理する。
• 保管場所を定め、施錠管理を徹底する。
• 机の上など、誰でもアクセスできる場所への放置は厳禁。
「メールの送信」におけるヒヤリハットと対策
電子メールは、業務における重要なコミュニケーションツールですが、宛先間違いや誤添付などによる個人情報漏洩のリスクも伴います。
事例:CCとBCCの誤り
複数の顧客にイベントの案内を電子メールで知らせる際に、BCCに顧客のメールアドレスを入力すべきところ、CCに入力し送信しそうになりました。
【ヒヤリハット】 本来秘匿すべき複数の顧客のメールアドレスを、他の受信者に公開してしまう危険性があった点。
【対策】 複数の宛先に一斉送信する場合は、必ずBCCを利用し、受信者同士のメールアドレスが公開されないように注意する必要があります。送信前に宛先を再確認する手順を設けることも有効です。
事例:メーリングリストの誤用
業務で使用している電子メールのメーリングリストに、複数の顧客、取引先等の連絡先を1つのグループとして登録していますが、特定の顧客の個人データが含まれる資料を添付したメールを、関係のない顧客にも送りそうになりました。
【ヒヤリハット】 特定の受信者のみに送るべき情報を、関係のない他の受信者にも誤って送信してしまう危険性があった点。
【対策】 メーリングリストを利用する際は、送信する情報の内容と、メーリングリストの登録メンバーが適切かどうかを十分に確認する必要があります。機密性の高い情報を含むメールは、メーリングリストの使用を避け、個別に宛先を指定するなどの対策が必要です。
事例:フルネーム入りのメールアドレス
「kojin-ichiro@example.com」のようにフルネームが入っているようなメールアドレスは、個人情報に該当する可能性があり、同意のない第三者への提供や漏えいに該当する場合があります。メールアドレスの命名規則についても注意が必要です。
メール送信で重要なポイント
• メール送信前には、宛先、CC/BCCの設定、添付ファイルの内容を必ず確認する。
• 複数の宛先に一斉送信する場合は、原則としてBCCを利用する。
• メーリングリストの登録メンバーと送信内容の適合性を確認する。
• フルネームなど、個人が特定できる情報を含むメールアドレスの利用は慎重に行う。
• 送信前に「そのメール送信しても大丈夫ですか?」といったポップアップ表示を導入するなどの工夫も有効です。
委託先管理とシステムセキュリティのヒヤリハット
個人情報を取り扱う業務を外部に委託する場合や、情報システムを利用する際には、委託先の管理やシステムのセキュリティ対策が重要となります。
事例:ECサイトの運用保守委託におけるアクセス権限設定ミス
自社のECサイトの運用・保守(個人データの取扱いを含む)を外部業者に委託し、カスタマイズを依頼しました。外部業者から作業終了の連絡を受け、サイトのリリース前に自社でテストを行ったところ、アクセス権限の設定ミスによって、外部からデータベースへアクセス可能な状態になっており、テストを行わずにサイトをリリースしていた場合に、個人データの漏えいになるところでした。
【ヒヤリハット】 委託先の作業ミスにより、個人データが外部からアクセス可能な状態になっていた点。
【対策】 個人情報の取扱いを委託する場合は、委託先に対して必要かつ適切な監督を行う義務があります。委託契約において、セキュリティ対策に関する事項を明確に定め、定期的な監査や報告を求めるなどの措置が必要です。また、システムリリース前には、自社で十分なテストを実施し、セキュリティ上の問題がないか確認することが重要です。
委託管理での重要なポイント
• 個人情報の取扱いを委託する際には、委託先の選定を慎重に行い、契約内容を明確にする。
• 委託先に対する適切な監督義務を果たす(定期的な監査、報告義務など)。
• システム開発や保守を外部に委託する場合は、リリース前に十分なセキュリティテストを実施する。
• 委託先の作業を原因とする情報漏洩の場合でも、委託元が責任を問われることがあります。
(続きは会員登録で読めます)
ツギノジダイに会員登録をすると、記事全文をお読みいただけます。
おすすめ記事をまとめたメールマガジンも受信できます。
