• docomo business Watch
  • より厳しくなった個人情報保護法。ヒヤリハット事例で学ぶ、情報漏えい対策

より厳しくなった個人情報保護法。
ヒヤリハット事例で学ぶ、情報漏えい対策

より厳しくなった個人情報保護法。ヒヤリハット事例で学ぶ、情報漏えい対策

個人情報の漏えいなどの事故が起きれば、企業としての信頼は大きく損なわれることに。企業で起こりがちなヒヤリハット事例から、注意すべき点を押さえていきましょう。

目次

メルマガを登録する!(無料)

1.2022年の法改正で、より厳しくなった個人情報保護法とは?

2022年4月1日より施行されている改正個人情報保護法は、個人情報を持つ本人の権利保護がいっそう強化され、違反した場合の罰則もより厳しいものになっています。

以前は個人情報の漏えいなどが発生した際、個人情報保護委員会に報告する法的義務はなく、企業の個別対応に委ねる状況でしたが、法改正により企業からの報告が義務化されています。

さらに、個人情報保護委員会の命令に違反した場合のペナルティについても、より重いものに。従来は法人処罰として「6カ月以下の懲役又は30万円以下の罰金」とされていましたが、改正法により「1年以下の懲役又は100万円以下の罰金」と厳罰化されています。

個人情報保護に関するルールが厳罰化される一方で、業務における個人情報流出のリスクは日々高まっています。働き方の多様化が進み、オフィスに縛られないテレワーク、ハイブリッドワークが推奨される中、PCやスマートフォンなどをオフィス外で利用する機会も増えており、企業規模を問わず、会社全体で情報漏えい対策を強化すべき時期がきているといえるでしょう。

2.従業員の家族に、携帯電話の番号を伝えても問題は無い?ヒヤリハット事例集

情報漏えい対策の強化のヒントになるのが、個人情報保護委員会が公開している「個人情報保護法 ヒヤリハット事例集」(※)です。

(※) 個人情報保護委員会「個人情報保護法 ヒヤリハット事例集」

この事例集で多く指摘されているのが、従業員やサービス利用者の個人情報を、本人の承諾なく第三者に提供してしまうという事例です。電話などで問い合わせを受けたとき、ついうっかり教えてしまうというシーンは少なくありません。

従業員の家族に、携帯電話の番号を伝えても問題は無い?ヒヤリハット事例集

事例集に記載されている、企業で情報漏えいが発生しやすいケースを見ながら、対応策を考えてみましょう。

ケース1

販売業者が販売した商品に異物が混入していたとして、購入者から連絡があった。販売業者はその際、製造業者に対し、購入者の連絡先(電話番号)を伝えることについてのみ購入者の了承を得ていたが、製造業者から代替品を送りたいとの申し出を受けたため、購入者の了承を得ていない住所を伝えそうになった。

このケースでは、購入者が製造業者に対して電話番号を伝えることについては同意をしていましたが、住所を伝えることまでは同意していませんでした。相手の承諾なく、こうした情報を伝えてしまうことは個人情報の漏えいとなります。個人情報については、どこまでなら第三者に提供していいのか、事前に同意を得ている範囲を明確にする必要があります。

ケース2

会社の営業部に、従業員の親を名乗る者から電話があり、「至急子ども(従業員)と連絡を取りたいので、携帯電話番号を教えてほしい」と言われた。従業員が営業で外出中であったため、携帯電話番号を教えてしまいそうになった。

このケースでは、本人と家族の間のことであり、問題が無いように感じるかもしれませんが、基本的には家族からの問い合わせであっても、個人情報を第三者に提供するには本人の同意が必要になります。この場合は、まず本人に連絡を取るべきです。ただし、人の生命、身体または財産の保護のために必要があって本人の同意を得ることが困難な場合など、第三者提供制限の例外に該当する場合は除きます。

ケース3

退職した元従業員が、再就職活動を行っている同業他社の人事担当者から連絡があり、元従業員の在籍確認、勤怠状況、退職理由、健康状態等を聞かれたため、伝えそうになった。

本人の同意を得ている場合や、第三者提供制限の例外に該当する場合を除き、問い合せに応じることはできません。さらに、再就職活動先企業の人事担当者が過去の勤務先に問い合せを行うこと自体、「元従業員が再就職活動を行っている」という個人情報を勝手に提供することになり、問題のある行為です。

ケース4

顧客リストをシステムで管理しているが、資料作りのためUSBメモリに保存された顧客データをコピーし、作業を行っていた。当日の作業を終えたので、USBメモリを所定の保管場所に戻そうとしたが、保管場所の鍵を保管している担当者が席を外しており、翌日も続けて作業を行うこととしていたため、自分の机の上に置いて帰宅しそうになった。

このケースは、データの管理上の問題であり、個人情報以外のデータでも取り扱いには注意すべきです。特に個人情報を取り扱うパソコンやUSB、書類などは盗難や紛失を防止するため、施錠できるキャビネット・書庫などに厳重に保管しましょう。

ケース4

ケース5

複数の顧客にイベントの案内を電子メールで知らせる際に、BCCに顧客のメールアドレスを入力すべきところ、CCに入力し、送信しそうになった。

たとえば、「kojin-taro@example.co.jp」のようにフルネームが入っているようなメールアドレスについては、個人情報に該当する可能性があります。誤って送信してしまった場合、同意のない第三者に個人情報を提供してしまったことになります。また、特定の個人を識別できるようなメールアドレスではなかったとしても、メールアドレスは多くの人にとって、日常的に使用する大切な情報なので、慎重に取り扱う必要があります。

個人情報保護のため、ITシステムを強化していくことは大切です。しかし、電話対応やメール送信、書類管理といった日常的な業務のなかにも、個人情報漏えいにつながりそうな場面は多くあります。今回取り上げたヒヤリハット事例を参考に、全社的に個人情報の取り扱いに関する知識を深め、トラブルを未然に防止しましょう。

3.いくら対策を講じても個人情報漏えいは起きる!そのときに備えて

個人情報の取り扱いに関する知識の社内周知を徹底したとしても、人はミスをする動物です。たとえば、テレワークやハイブリッドワークに欠かせないPCやスマートフォンを扱う際には細心の注意が必要になります。しかし、いくら注意したとしても、故意でなかったとしても、ウイルス感染、メールの誤送信、端末の紛失・盗難などによる個人情報漏えいが起こるリスクはなくなりません。そのリスクを最小化するためのツールの活用も検討しておくべきです。

たとえば、よくあるケースが業務に関係ないサイトを閲覧してウイルスに感染、個人情報を含む機密情報が漏えいしてしまうことです。お昼休みや終業後、テレワークの空き時間など、ついつい趣味のサイトを巡りたくなる気持ちはあるでしょう。しかし、それが会社から支給された端末であった場合、大きなトラブルに発展してしまうことも起こりえます。

このような従業員の私的利用対策としてフィルタリングサービスを利用する方法があります。業務に関係ないサイトへのアクセスを制限することで、不適切な利用による情報漏えいなどのリスクを大幅に軽減できるでしょう。

ビジネスアクセスマネージャー

もはやビジネスに欠かせないツールの1つとなっているメールですが、誤送信による情報漏えいのリスクをはらんでいます。こちらはメールを送ったはずなのに、相手から届いていないと連絡があり、確認したところ別のアドレスに送っていたというケースもしばしば生じます。対策として添付ファイルのパスワードを別のメールで送信するPPAPがありますが、2通とも間違った相手に届いてしまう可能性などがあるため、万全な対策にはなりえません。

メール誤送信のリスクを最小化する脱PPAPの手段として、メールとストレージサービスの併用があります。送りたいファイルをストレージにアップしておき、メール本文にアクセス権限を持たせたリンクのURLを記載すれば情報漏えいのリスクは格段に抑えられます。しっかりセキュリティ対策が講じられていること、大容量のファイルをアップできるゆとりがあること、そして使いやすいことなどでサービスを選定しましょう。

Box over VPN

そして最後がスマートフォンです。つねに携帯するものであるため、うっかり紛失してしまうことや盗難によって個人情報が漏えいしてしまうリスクは少なくありません。ロックナンバーやパスワード設定、セキュリティソフトの導入などの対策は有効ですが、それだけでは充分とはいえません。プライベートではなく、仕事で使う端末であれば強固な対策は必須です。

そのようなビジネスに必要なセキュリティ機能を、スマートフォンにセットにしたサービスがあります。紛失・盗難の対策、ウイルス感染対策、フィルタリング対策に加え、従業員同士の通話が無料になるメリットなどもあるため、社用端末の導入を検討しているのであれば一考の価値はあるといえるでしょう。

ビジネスマホパック

このようなツールを有効に活用することで、さらに個人情報漏えいの対策は強化できます。従業員のリテラシー教育と合わせて、導入を検討してみてはいかがでしょうか。

メルマガを登録する!(無料)

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

最適なサービスを探したい方はこちら

中小企業向けサービスサイト
検索