個人情報の漏洩と安全管理
キャッシング・ローンの法律研究室 ※文字サイズ変更できます
キャッシング・ローンの法律研究室 > 消費者金融・サラ金の法律

個人情報の漏洩と安全管理

・事業者の個人データの安全管理について
・金融庁事務ガイドラインでの取り扱いについて

事業者は個人データの安全管理をどのように行う必要があるのですか?

個人情報の漏洩と安全管理については、近年社会問題にもなっていますが、個人情報に関する法律では、事業者は個人データの安全管理のために必要な措置を講ずることになっています。

事業者によって必要かつ適切な措置というのは異なりますが、組織的、人的、物理的、技術的な要素について安全管理措置がとられている必要があります。

また、安全管理のためには、どの部門で、どのような個人データを、何のために、どのような方法で取り扱っているかを把握し、問題点、改善点などを情報の取得、入力、利用、保存、提供、廃棄といった一連の流れに沿って検証することが必要です。

さらに、何が必要で適切な措置なのかは、取り扱う個人データの内容や量、データの媒体、取扱いの態様や関与する人の多寡によって異なりますので、リスクに応じて必要かつ適切な措置をとらなければなりません。

さて、ここで消費者信用産業についてですが、消費者信用産業における事業者が取り扱う個人データの件数は、一般的にも大量です。

また、データの内容も氏名や住所などの基礎的な属性データだけではなく、契約情報や取引履歴、支払能力、延滞に関する事実など幅広く、また一般に公開されない情報も多く含まれています。

さらに、これらはコンピュータによるデジタルデータとして保有されることが通常ですので、消費者信用産業における事業者の場合には、特に高度な安全管理措置が求められるのです。

金融庁事務ガイドラインではどのようになっているのですか?

金融庁事務ガイドラインには、物理的安全管理措置についての具体的な規定は、他の要素に含まれているためありません。

しかしながら、経産省信用分野ガイドラインでは、安全管理措置は、組織的、人的、技術的、物理的な各要素についてとられていなければならないとされています。

■組織的安全管理措置
組織的安全管理措置では、まず安全管理に対応した責任者の設置や組織体制の整備、安全管理措置を内容とする規程等の整備、これに従った運用、これらの実施状況等の確認検証とその結果にもとづいた改善などが求められることになります。

もし、事故がおきてしまった場合には、再発防止のための原因究明と対策を講じます。そして、二次的被害の防止などのために、その事故に関する個人データの本人への通知と説明を行い、事故の発生と内容について公表します。

■人的安全管理措置
人的安全管理措置については、次のようなことが必要です。
・従業員等に研修などを行なうこと
・個人データの取扱いに関する契約の締結などによって目的外利用や開示の禁止を義務づけること
・違反には、懲戒等の処分を行うこと

■物理的・技術的安全管理措置
物理的・技術的安全管理措置については、物理的に個人データを保護することや、技術的に必要な措置を講じるために、次のようなことが必要です。
・データルームへの入退室管理や媒体の施錠管理など
・システムのアクセスの制御
・不正ソフトウェア対策
・システムの監視と記録など
関連トピック

・個人情報取扱事業者について
・経産省信用分野ガイドラインや金融庁ガイドラインでの取り扱いについて

個人情報保護法の対象になる事業者とはどのような業者をいうのですか?

結論から申し上げますと、個人情報の保護に関する法律の対象になる事業者というのは、個人情報取扱事業者です。

ここで個人情報取扱事業者というのは、個人情報データベース等を事業用に利用する民間事業者のうち、取り扱う個人情報の量と利用方法からみて、個人の権利利益を害するおそれがないものとして政令で定める者を除いた者のことをいいます。

また、個人情報データベース等というのは、個人情報を含む情報の集合物で以下のものをいいます。
■特定の個人情報を、電子計算機を利用して検索できるよう体系的に構成したもの
■個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索できるよう体系的に構成したもので、目次、索引など検索を容易にするためのものを有するもの
…をいいます。

この場合、個人データというのは、個人情報データベースを構成する個人情報のことをいいます。

さらに、事業用に利用するというのは、事業活動に現に利用していることまでは必要ではなく、事業活動に利用する目的で利用可能な状況に置いていることをいいます。

ちなみに、個人情報保護法によると、事業用に利用する個人情報データベース等を構成する個人情報によって識別される特定個人の数が、合計で、過去6か月間、1日たりと5,000人分を超えない者は、個人情報取扱事業者には該当しないことになっています。

個人情報データベース等は、事業用として利用しているのであれば、作成者や管理者を問いません。

よって、消費者金融業者やクレジット会社は、個人信用情報機関から個人データの提供を受けてそれを事業に利用していますので、上記の個人情報取扱事業者に該当するかの人数には、ここにアクセスできる人数を含めて判断する必要があります。

経産省信用分野ガイドラインや金融庁ガイドラインではどのように取り扱われているのですか?

経産省信用分野ガイドラインでは、識別される特定個人の数の合計が過去6か月で常時5,000人を超えない事業者でも、個人の支払能力に関する情報を用いて割賦販売法の割賦購入あっせんその他の物品または役務の取引に係る信用供与を業として行うものである場合には、経産省信用分野ガイドラインを遵守するよう求めています。

また、金融庁ガイドラインでも、金融分野において個人情報データベース等を事業用に利用する者のうち、過去6か月常時5,000人分を超えない事業者についても金融庁ガイドラインの遵守に努めるよう求めています。

これはわかりやすく言うと、顧客の個人情報だけではなく、従業員の情報や株主の情報、加盟店の代表者に関する情報なども、生存する個人に関する情報なので、特定人を識別できる限り個人情報に含まれるということということです。

情報検索
 
Copyright© 2007 キャッシング・ローンの法律研究室. All rights reserved.