NPOの運営に関するQ&A

【情報管理】

個人情報とは、何を指しますか?

個人情報の保護に関する法律(個人情報保護法)では、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により「特定の個人を識別することができるもの」(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」とされています。  個人情報とされるのは、@生存者の情報であること、A個人に関する情報であること、B特定の個人を識別できる情報であること、3つの条件が必要とされています。

当団体は、小規模の団体ですが、個人情報保護法は適用されますか?

個人情報保護法が適用されるのは、「個人情報取扱事業者」に限定されています。「個人情報取扱事業者」とは、個人情報保護法第2条第3項において、「個人情報データベースなどを事業の用に供している者」と定義されています。
もっとも、今のところ(2015年11月)、過去6ヶ月以内のどの時点においても、保有する個人情報の合計件数が5,000件を超えない小規模事業者については、個人情報取扱事業者から除外されています。したがって、団体が保有する個人情報の合計件数が5,000件を超えない場合は、原則個人情報保護法の適用はないと考えてよいでしょう。ただし、法令上の要請はないとしても、団体の信用保護のためには、取り扱う個人情報について保護の手当はしておいた方がよいでしょう。また、2015年9月に個人情報保護法の改正法が成立しました。この改正では、上述の保有する個人情報が5000件を超えない小規模事業者を個人情報取扱事業者から除外するという規定が削除されますので、小規模の団体であっても個人情報保護法が適用されることになります。改正法の施行は、公布の日(2015年9月9日)から2年を超えない日とされていますので、それまでに個人情報保護法の対応が必要になるのでご注意ください。

個人情報を管理する上で、注意点を教えてください。

大別すると、組織的安全管理措置、人的安全管理措置、物的安全管理措置、技術的安全管理措置の4つの観点から安全管理措置を講じる必要があります。具体的には、以下のような点に気を付ける必要があります。詳しくは、各省庁の個人情報の取扱に関するガイドラインをご参照ください。
1.組織的安全管理措置
@個人データの安全管理措置を講じるための組織体制の整備(個人情報保護管理者の設置、監査責任者の設置)
A個人データの安全管理措置を定める規程等の整備と規程に従った運用
B個人データの取扱状況を一覧できる手段の整備(保管場所、保管方法、アクセス権者、利用期限等個人データ取扱台帳)
C個人データの安全管理措置の評価、見直し及び改善(監査、報告、見直し、改善)
D事故又は違反への対処
2.人的安全管理措置
@雇用契約時における従業員との非開示契約の締結、及び委託契約等(派遣契約を含む)における委託元と委託先間での非開示契約の締結
A従業員に対する内部規程等の周知、教育、訓練の実施
3.物理的安全管理措置
@入退館(室)管理の実施(施錠できる部屋で個人データを取り扱う業務を行う)
A盗難等の防止(机上及び車内等に個人データを記した書類、媒体等を放置しない)
B機器・装置等の物理的な保護(盗難、破壊、漏水、火災からの物理的な保護)
4.技術的安全管理措置
@個人データへのアクセスにおける識別と認証
A個人データへのアクセス制御
B個人データへのアクセス権限の管理
C個人データへのアクセスの記録
D個人データを取り扱う情報システムについての不正ソフトウェア対策
E個人データの移送・送信時の対策
F個人データを取り扱う情報システムの動作確認時の対策
G個人データを取り扱う情報システムの監視

スタッフや第三者が情報を持ち出してしまった場合、どう対処すれば良いでしょうか?

スタッフや第三者に情報が持ち出されたことが判明した場合の対処として以下のような対処方法が考えられます。  

@すばやい対応A被害状況の把握B事実の公表C状況の逐次公開(HP、メール、文書)D被害者に対する事実周知、謝罪(金券等の進呈を含む)E顧客等に与える影響の予測Fクレーム窓口の設置G漏えい情報回収の努力H通報者への通報のお礼と顛末の報告I顧客に対する補償J理事長等の参加による体制の整備K原因の追究Lセキュリティ対策の改善M各種手順の見直しN専門家による適合性の見直しO外部専門家の参加による助言や監査の実施  
いずれにしても、被害がさらに拡大しないよう速やかに対処する必要があります。専門家等に相談することも1つの方法ではないでしょうか。