企業は,コンプライアンスを守ることによって,企業の信用を維持し,訴訟リスクを回避することに努める必要があります。企業のコンプライアンスの中でも,特に,「個人情報の保護に関する法律」(以下,「個人情報保護法)という。)を遵守するための体制の整備が重要です。なぜなら,インターネット等の情報通信技術の発達により,個人情報の流出の危険が増大しており,しかも,個人情報が流出した場合の企業に対する社会的非難も大きいものがあるからです。そこで,個人情報の管理には万全の体制を確立する必要があります。
個人情報とは,「生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することがきできるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む。)をいいます(個人情報保護法2条1項)。個人情報には,顧客情報のみならず,従業員情報も含まれます。
個人情報取扱事業者は,例えば,個人情報保護法によって以下の義務を課せられています。@個人情報を取扱うに当たっては,その利用の目的をできる限り特定しなければならない。(同法15条1項)。Aあらかじめ本人の同意を得ないで,利用目的の達成に必要な範囲を超えて,個人情報を取扱ってはならない。(同法16条1項)。B偽りその他不正の手段により個人情報を取得してはならない。(同法17条)。C個人情報を取得した場合は,あらかじめその利用目的を公表している場合を除き,速やかに,その利用目的を,本人に通知し,又は公表しなければならない。(同法18条1項)。D利用目的の達成に必要な範囲内において,個人データを正確かつ最新の内容に保つよう努めなければならない。(同法19条)。Eその取り扱う個人データの漏えい,滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない(同法20条)。F原則的に,あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。(同法23条1項)。
企業は,個人情報取扱事業者の義務を履行するためには,@雇用契約時に従業員との間で,個人情報の非開示契約を締結し,A就業規則に個人情報管理規程を整備し,B従業員に対し,個人情報管理規程に基づいて,教育,研修し,さらに,C従業員の規範意識を強化し,万全を期すために,個人情報管理規程を遵守する旨の誓約書に署名してもらうべきです。
個人情報の管理の社内体制の整備のためには,「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日,厚生労働省・経済産業省告示第4号)に従うべきです。ガイドラインには,@組織的安全管理措置(安全管理について従業者の責任と権限を明確に定め,安全管理に対する規程や手順書を整備運用し,その実施状況を確認すること),A人的安全管理措置(従業者に対する,業務上秘密と指定された個人の非開示契約の締結や教育・訓練等を行うこと),B物理的安全管理措置(入退館(室)の管理,個人データの盗難の防止等の措置),C技術的安全管理措置(個人データ及びそれを取り扱う情報システムへのアクセス制御,不正ソフトウェア対策,情報システムの監視等,個人データに対する技術的な安全管理措置)について,それぞれ,@「講じなければならない事項」,A「各項目を実践するために講じることが望まれる手法の例示」が記載されています。従業員に対する教育は,ガイドラインの具体的措置に基づいて行います。
従業員の個人情報には,病歴,収入,家族関係等の重要な情報が含まれるので扱いを慎重にする必要があります。すなわち,雇用管理分野における個人情報保護に関するガイドライン(平成24年厚生労働省告示第357条)を遵守する必要があります。
企業は,顧客の個人情報,従業員の個人情報の両面について安全管理を徹底することが不可欠です。