最近、企業の不祥事の報道が続いておりますが、今回は個人情報の漏洩をピックアップしたいと思います。
個人情報の漏洩問題を考えるにあたっては、そもそも何が「個人情報」に該当するのか?という点をしっかりと理解しておく必要があります。
氏名のような典型的なものはもちろんながら、普段から意識していないものでも「個人情報」に該当するものがありますので、今回は確認の意味を含めてお話しします。
「個人情報の保護に関する法律」(いわゆる「個人情報保護法」)では、「個人情報」は次のように定義されています。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(…)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(…)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 (略)
かっこ書きも多く、読み解くのが難しい文章ではありますが、整理すると、「生存する個人に関する情報」であって
①氏名、生年月日
②その他の記述等により特定の個人を識別できるもの
②’それ単体では特定の個人を識別できない情報でも、他の情報と照合することで特定の個人を識別できるもの
が「個人情報」とされていることとなります。
②’がイメージしにくいかもしれませんのでご説明すると、生年月日や電話番号は、それ自体は日付や数字の並びですので、特定の個人を識別できない情報ですが、「令和○年〇月〇日生まれの○○さん」や「電話番号090-○○○○-○○○○を使っている○○さん」というように、氏名等と組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。
一般的に「個人情報」としてイメージされにくいものとしては、「防犯カメラに映った人の顔の画像」や「本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報」が挙げられます。また、ユーザーからのクレームの電話の「声」も、個人情報として扱われることになります。
メールアドレスについても個人情報に該当する場合があるので注意が必要です。
例えば、「株式会社個人情報」という会社の「ホウリツタロウ」という人が「aiueo@kojinjoho.com」というメールアドレスを使っている場合、このメールアドレスの@よりも前の「aiueo」は50音の並びであって、特定の個人(ホウリツタロウ)を識別することはできません。
ただ「taro.horitsu@kojinjoho.com」というアドレスであれば、「個人情報社のホウリツタロウさん」という特定の個人を識別できる情報として、個人情報に該当するということになります。
さて、個人情報にあたるかの考え方を整理した次には、皆様にご注意いただきたい事項をお伝えします。
ビジネスの世界では、お互いの自己紹介として交換される「名刺」には、個人情報が掲載されています。
上記のとおり、社用メールアドレスそれ自体が、必ずしも特定の個人を識別できる情報とは限らないものの、名刺は、氏名や肩書、場合によっては顔写真といった、特定の個人を識別できる多くの情報が掲載された媒体です。
そのため、交換した名刺を普段から社外に持ち出させないようにしたり、退職の際にはシュレッダーにかけさせるようにしたりといったことは、重要な取引先情報を守るという観点だけでなく(この観点につきましては以前の記事でご説明しておりますのでご参照ください。)、「個人情報の漏洩」に対する対策としても非常に重要です。
個人情報が漏洩した場合、要配慮個人情報の漏洩、財産的被害のおそれがある漏洩、不正の目的によるおそれがある漏洩については1件でも発生すれば、個人情報取扱事業者は速やかに個人情報保護委員会に報告しなければなりませんし、上記のような類型の漏洩でなくとも、1,000名を超えた個人データの漏洩等の場合も、報告や通知義務が課せられています。
そのため、名刺の漏洩の場合、ビジネス規模次第ではあっという間に1,000名を優に上回る個人情報が漏洩してしまう危険性があるため、十分な注意が必要です。
今回の記事で触れたような情報についてあまり個人情報だという認識がなかった、という方や、漏洩対策がしっかりできているか不安を感じた、という方がいらっしゃいましたら、弊所では、事件が発生する以前の段階からのリスクマネジメント方策のアドバイスも行わせていただいておりますので、是非、ご遠慮なくご相談くださいませ。