個人情報保護

当事務所では、これまで個人情報保護に関する法的サービスの提供に力を入れてきました。

現代社会において、個人情報管理・データ管理の体制整備、これを守るセキュリティ対応は、企業にとって必要不可欠です。万が一、個人情報等の情報が漏えいしてしまった場合の対応も、企業を守るために極めて重要です。

当事務所では、最新の個人情報保護法制の状況を踏まえながら、皆様にご納得いただける法的サービスを提供させていただきます。

個人情報保護対応・GDPR対応

個人情報保護法(改正)対応、GDPR(一般データ保護規則)対応などは、企業の必須の課題です。特にBtoCビジネスにおいては根幹ともなる重要な業務となります。

当事務所は、我が国で始めて、個人情報保護法が施行される前から、個人情報・プライバシー保護を重要な取扱分野とし、多くの案件を取り扱ってまいりました。 

当事務所は、日本の個人情報保護法のみならず、EUのGDPR(一般データ保護規則)を研究し、関係書籍・原稿を執筆し、セミナーなども開催し、その普及啓発をしてまいりました。

 

当事務所は、個人情報関係の豊富な経験を基にして、ビジネスをサポートいたします。

 

  具体例 個人情報保護制度構築支援  

                個人情報保護指針・取扱規程類の作成

      個人情報リスク評価支援(DPIA)   

      個人情報保護監督官業務(DPO)の受任

      個人情報保護に関連する法的意見書の作成

 

セキュリティ・情報漏えい対応

企業は、情報を収集し、これを利活用し、ビジネスを展開していますが、そのためには、適切な情報管理を行うことが前提となります。現在、ランサムウェア、DoS攻撃(DDoS攻撃)、ゼロデイ攻撃、SQLインジェクション、クロスサイトスプリプティング、OSコマンドインジェクション、バッファオーバーフロー攻撃、セッションハイジャックなど多くのサイバー攻撃があり、今後も新たな攻撃が増えていくことでしょう。また、従業員や元従業員による情報の不正取得もあり得ます。

そのため、企業は、技術的措置とともに、組織的、人的、物理的措置を講じておく必要があります。

また、万が一、情報漏えいが発生してしまった場合には、迅速・適切に対応する必要があります。この対策を誤ると、企業の信用問題へと発展し、最悪の場合、事業の廃止にまで追い込まれることもあります。

 

当事務所では、これまで多数のセキュリティ対策、事業継続計画の策定、情報漏えい事故への対応を支援してきており、豊富な経験と知識を有しております。当事務所は、情報を利活用してビジネス展開を図る企業をサポートいたします。

 

・開示等請求に応じる手続き、安全管理措置の規定は策定されていますか?

 個人情報保護法32条及び個人情報保護法施行令10条では、各企業(個人情報取扱事業者)は、保有個人データに関して、その利用目的や苦情の申出先のみならず、開示等請求に応じる手続き(手数料の額を定めたときは、その手数料の額を含む。)安全管理のために講じた措置についても、本人の知り得る状態にしなければならないと規定しています。

 多くの企業ではプライバシーポリシーや個人情報保護方針などが作成されていますが、これらプライバシーポリシー等において、この開示等請求に応じる手続きや安全管理のために講じた措置についてまで触れられているものは多くありません。

 もちろん、本人の知り得る状態とは、本人の求めに応じて遅滞なく回答する場合も含むとされており、必ずしもプライバシーポリシーに明記する必要はないのですが、実際のところ、遅滞なく回答できるような状態にもなっていないのではないでしょうか。

もし、開示等請求に応じる手続きを本人の知り得る状態にしていないと、本人は任意の方法で開示等の請求をするおそれがあります。また、開示請求については手数料をとることができるのですが、手数料の定めが無いと手数料をとることが難しくなります。また、具体的な安全管理措置をすぐに開示できないと、企業の情報セキュリティに疑義を生じ、信用リスクにもなりかねません。

 

 当事務所では、プライバシーポリシーや個人情報保護方針等の作成・チェックを含め、幅広く個人情報保護体制整備の支援を行っています。どのような内容の規定にすればよいのかお困りのときは、お気軽に当事務所までお問合せ下さい。

 

 

・プライバシーポリシーだけで大丈夫?

 多くの企業では、プライバシーポリシーや個人情報保護指針などを作成し、公表していると思います。ただし、個人情報管理においては、プライバシーポリシーだけでは十分ではありません。 

 プライバシーポリシーとは、当企業として個人情報はこのように守りますという、いわば企業の宣言ですが、その宣言に従って、実際にどのように個人情報を守るのかを明確にする必要があります。すなわち、プライバシーポリシーに対応した内部従業者向けの規定である個人情報取扱基本規程が、別途必要なのです。これは外部に公表するものではなく、企業内の従業者の指針となるものです。

 ところが、プライバシーポリシー等だけを策定して終わりとなっている企業が多いのです。これでは、従業者はどのように個人情報を管理し、守ればよいのかがわかりません。従業者が適切に個人情報を管理できるよう、内部のルールブックも整備することが必須なのです。

 

 当事務所では、プライバシーポリシーのみならず、企業内部の個人情報取扱基本規程、マニュアル等の作成・チェックも行っています。何をどのように作成したらよいのかお困りのときは、お気軽に当事務所までお問合せ下さい。

 

・情報管理監査のすすめ~貴社の情報管理体制は万全?

 現在の企業において、情報は、ヒト・モノ・カネと同様に重要なものです。どの企業であっても、個人情報、機密情報などを保有しているはずです。他方で、毎日のように、情報漏えいのニュースが流れています。

 情報管理においては技術的安全管理も重要ですが、それだけでは十分ではありません。技術的安全管理と同時に、組織的安全管理、人的安全管理、物理的安全管理も重要です。組織的管理とは、情報管理について従業者の責任と権限を明確に定め、規程や手順書を整備・運用し、その実施状況を確認することをいいます。人的安全管理とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいいます。物理的安全管理とは、入退館(室)の管理、個人データの盗難の防止等の措置など、物理的設備の管理のことをいいます。企業組織として、情報管理体制を整備し、従業者にしっかりとした情報管理教育を行うことが必須であり、これらの安全管理が講じられてはじめて、情報管理が適正になされていると評価されます。

 ところが、実際のところ、組織的安全管理、人的安全管理がしっかりと講じられている企業は多くありません。また、一応の安全管理措置を講じてはいるが、これで十分か、ほかにもやることはないのかといった悩みをかかえている企業もあります。

 

 当事務所では、これまで多くの企業における情報管理体制整備支援、情報漏えい対策、漏えい時対応等とともに情報管理監査を行ってきました。例えば、人事部のみ、営業部のみといった実際個人情報を取り扱う部署だけの監査も可能です。情報管理監査について関心がございましたら、お気軽に当事務所までお問合せ下さい。

 

(監査方法例)

  規程類の精査

  担当部署へのヒアリング

  情報取扱い現場の立会い

  監査報告書の作成(検出事項、想定リスク、改善提案を含む。)

 

 

・従業者教育していますか?

 情報管理の人的安全管理とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や、教育・訓練等を行うことです。個人情報保護法23条は、企業に対して、個人データの完全管理措置を講じるよう義務付け、個人情報保護委員会のガイドラインでは、安全管理措置の内容として人的安全管理措置を規定しています。また、個人情報保護法24条では、企業に対して、安全管理措置とともに従業者監督義務も規定しています。したがって、企業が情報管理について従業者教育を行うことは必須です。従業者教育を行っていないと、安全管理措置を講じていない、従業者監督を果たしていないと評価されてしまいます。

ところが、企業内に情報管理に詳しい人がいないなどの理由で、従業者に対する教育がなされていないケースも多く見受けられます。

 

 当事務所では、これまで多くの企業で、個人情報保護・情報管理に関するセミナー、研修を行ってきました。当事務所は、貴社の従業者に対する情報管理教育(セミナー・研修等)を行います。従業者教育を行おうとお考えのときは、お気軽に当事務所までお問合せ下さい。

 

(セミナー内容例)

  個人情報保護法の目的と概略

  個人情報の種類とその重要性

  情報漏えい事例と漏えいの影響

  情報を取り扱う上での注意事項

  安全管理措置

  従業者の立場に応じた対応策   

 

 

・情報漏えい時に対応できる体制はできていますか?

 個人情報保護法26条では、個人データの漏えい等が生じたときは、個人情報保護委員会へ報告するとともに、本人に通知しなければならないとされています。この報告には速報と確報があり、速報については、漏えい等を知ったときから概ね3~5日以内とされています。なお、個人情報保護法26条の報告・通知義務は「漏えい」の場合に限りません。「漏えいのおそれ」であっても、報告・通知義務があります。そして、報告事項についても、個人情報保護法施行規則8条に規定されており、事案の概要、漏えい等が発生した個人データの項目、本人の数、原因、再発防止策等が挙げられています。そのため、漏えい等が発生した場合、速やかに原因を調査して、事件の全体像を把握しなければなりません。

このように漏えい等のインシデントが発生した場合、報告までの期間が非常に短いことから、あらかじめ準備をしておかないと、迅速に対応することができません。

そこで、あらかじめ漏えい等のインシデントが発生した場合を想定して、平時の段階からマニュアルを作成しておくことが重要です。これをIT-BCPと呼ぶこともあります。また、マニュアルどおりに対処できるかどうか、有事を想定した訓練も必要です。

 

 当事務所では、内部規程の作成・チェックや体制整備のアドバイス等を通して、情報漏えい時対応の支援を行っています。どのようなインシデント対応策が必要かお悩みのときは、お気軽に当事務所までお問合せ下さい。