【個人情報の売買】抜き取られた会社の責任は?

先日、大量の個人情報の流出が問題になりましたね。
個人情報を抜き取って売った張本人は不正競争防止法で問題が生じそうです。
では、個人情報を抜き取られた企業や個人情報を買取った企業に問題は生じないのでしょうか?
企業側の責任問題の1つに、個人情報保護法の責任問題があります。

介護関係事業者もセンシティブな個人情報を取扱う以上、他人事ではありませんね。
まず、個人情報を抜き取られた介護関係事業者について関係する重要な個人情報保護法の条文を見てみましょう。

第二十条  個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

 

なるほど、全くわかりませんね。。。
分解して検討してみましょう。

①「個人情報取扱事業者」とは?

個人情報データベース等を事業の用に供している者をいいます(法第2条第3項)。
ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない者は、除外されます(施行令2条参照)。

つまり、個人情報保護法は、過去6か月以内のうち、たとえ1日だけであっても5001人以上の個人情報を取扱っていた事業者のみを対象として義務を課しているのであり、過去6か月のうち、いずれの日においても5000人までの個人情報しか取扱ってない事業者には義務を課していいないということがわかります。

なお、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいいます(法2条1項)。

②「個人データの安全管理のために必要かつ適切な措置」

個人情報保護法に、安全管理のために、具体的にどの程度の対応が必要かについて記載されているわけではありません。このことは、介護関係事業者が行うべき個人情報の取り扱い方について定めた厚生労働省作成のガイドラインにおいても同様です。

個人情報保護法を所管する消費者庁によると、取り扱う情報の性質や利用方法、情報通信技術の発達などを勘案し、社会通念上合理的な程度の安全管理措置を採ることが必要であるとしており、この考え方は介護関係事業者にもあてはまります。 

結局は各々の事業者の判断で、社会通念上合理的な程度の安全管理措置を採っていたといえる程度の環境作りをしておくことが必要だということですね。

環境作りとして何をすればいい?

個人情報保護法を所管する消費者庁によると、安全管理措置義務について、大別すると、組織的な観点から必要な措置と技術的な観点から必要な措置に分けられるとしています。
組織的な措置の具体例としては、個人情報の取扱いに関する内部規程の整備、安全管理者の設置、安全確保のための組織の整備、従業員に向けた研修の実施などが考えられるとしています。
技術的な措置の具体例としては、コンピュータへのファイアウォールの構築、情報の暗号化、データベースへのアクセス制限などが考えられるとしています。

したがって、「個人情報取扱事業者」に該当する介護関係事業者は、上記具体例について、できる限り実践しておくことがリスク回避に繋がります。

長くなってしまいましたので、個人情報を買取った企業についての問題は次回検討することにしましょう。

関連記事

運営者

介護特化型リーガルパートナー
ページ上部へ戻る