社員がスマホを落とすと、会社が法的責任を負う?

知らないと危ない「改正個人情報保護法」のポイント

日本経済新聞出版社

従業員のスマホはどこまで管理できる? 今さら聞けない「個人情報保護」の新・知識

2017年5月30日の個人情報保護法の改正に伴い、個人情報保護委員会が新たに設立されたと聞きました。どんな委員会なのですか。

国の行政機関のひとつですが、政府からの独立性が高く独自に権限を行使できる、いわゆる三条委員会と呼ばれるものです。他の三条委員会には公正取引委員会や国家公安委員会などがあります。ちなみに、三条委員会は「国家行政組織法第三条」の規定に基づいて置かれるため、こう呼ばれています。

具体的にどんな権限を持つのでしょうか。

その権限はさまざまにありますが、なかでも企業にとって非常に重要なのが、個人情報保護委員会には「立入検査権」があることです。改正前の個人情報保護法では業界ごとに主務大臣が決められていましたが、この主務大臣には立入検査権はありませんでした。しかし、今回の改正で個人情報保護法、マイナンバー法とも委員会に立入検査権が認められています。
したがって、今後は個人情報保護法、あるいはマイナンバー法に違反している疑いがあると、個人情報保護委員会がいきなり企業に立ち入って検査ができることになっています。
そのうえに罰則が設けられていて、委員会に対して虚偽の報告をする、あるいは検査を拒否するだけで刑罰が科せられます。そうした意味でも非常に大きな権限を持つ組織といえるでしょう。

 

強い権限がありますね。そもそもどんな経緯で設立した委員会ですか。

改正前の個人情報保護法があまり守られていなかったのではという問題意識から、規制を強化すべきという流れがありました。そこで、民間企業の情報管理について立入検査権を持つ公正取引委員会のような組織をつくりましょう、となったのです。
このことからも個人情報保護法、あるいはマイナンバー法を守ることがいかに重要か理解できるのではないかと思います。

企業としてはどんなふうに情報管理体制をつくっていけばいいのでしょうか。

そもそも何が個人情報なのかを理解していないと、企業として情報管理体制をつくることはできません。何が個人情報なのかをしっかり把握することが、きわめて重要なポイントとなります。

何が個人情報なのか……たとえば氏名や生年月日ですよね。

個人情報保護法では、「特定の個人を識別することができる情報」を個人情報といっています。氏名や生年月日を個人情報だと思っている方が多いのですが、氏名や生年月日は単なる例にすぎません。氏名や生年月日がわからなくても、特定の個人を識別することのできる情報であれば、それは個人情報になります。

「特定の個人を識別できる情報」にはどんなものがありますか。

わかりやすいのは、防犯カメラの映像です。たとえば、私・影島広泰がコンビニに行って防犯カメラに顔が映っているとき、私のことを知らない人がその映像を見ても、その人物が「影島広泰だ」という名前まではわからないでしょう。ただし、その映像は「特定の個人が識別できる情報」なので個人情報に該当するのです。つまり、「名前がわかること」イコール「個人情報」というわけではない、ということです。防犯カメラの映像は典型的な個人情報となるので、企業でも店舗でもきちんと管理する必要があります。

防犯カメラの映像は個人情報、ということですね。あ、では、メールアドレスは?

社会が発展し、情報技術が発達していくことで、個人情報の概念がどんどん広がってきているので注意が必要です。ご指摘のメールアドレスひとつをとっても、メールアドレスに氏名が含まれていれば、氏名単体でも個人情報なので、当然、そのメールアドレス単体でも個人情報となり、個人情報として取り扱わなければいけません。
防犯カメラの映像も顔が映っていれば、その映像そのものも個人情報ですが、最近はそれをコンピューターにかけて顔認証で人を識別することも行われています。

たとえば、アイドルグループのコンサートでも顔認証システムが使われたりしていますね。

ええ。本人を認識する水準でコンピューター用に変換した情報(符号)も、個人情報にあたることが今回の改正では明確になっています。
繰り返しになりますが、特定の個人が識別できる情報であれば、名前がわからなくてもすべて個人情報なので、企業としては社内にどんな個人情報があるのか、きちんと洗い出しを行わなければいけません。

企業が、身近なところで気をつけるべき情報管理の注意点を教えてください。

気をつけなければいけないのは、従業員が持っている携帯電話やスマートフォン(スマホ)です。従業員の私物のスマホであっても、そのアドレス帳に氏名と携帯の電話番号が検索できる形で保存されているので、これは典型的な「個人情報データベース等」になります。
この個人情報データベース等であるスマホのアドレス帳を仕事で使っていれば、「事業の用に供している個人情報データベース等」になり、企業が安全管理すべき対象になるのです。

私物であるけれど、企業が管理すべきものになると。

はい。したがって、企業としては、仕事で使っているのであれば、従業員の私物のスマホであっても情報管理しなければいけません。ガイドラインに従ってきちんと対応することが求められます。
私の経験上からも、最近の情報漏えいで非常に多いのは、従業員がスマホを(電車で)落とした、(飲み会で)失くしたというケースです。その後、戻ってきたので個人情報保護委員会に報告しなくてもいいでしょうか、といった質問が企業の方から多くなっています。

失くしたり落としたり、他人事ではないですね。ちなみにそれは届け出る必要があるのですか。

そのスマホが暗証番号でロックされていれば、第三者に閲覧されることなく回収できたことになり、紛失しても個人情報保護委員会への報告の必要がなくなるケースがあります。 ただし、繰り返しますが、企業としては、従業員のスマホや携帯電話をどう管理するのか、真剣に考えていくべき問題です。

次のページ:隣の企業はどうしてる?「個人情報保護」従業員への研修・教育

関連著者・監修者

影島 広泰(かげしま ひろやす)

弁護士
一橋大学法学部卒業。2003年弁護士登録、牛島総合法律事務所入所。2013年に同事務所パートナーに就任。2015年、情報化推進国民会議本委員。“マイナンバー制度・個人情報保護法への実務対応"の第一人者として、企業法務に従事するほか、寄稿、講演・セミナーでも大人気。経済産業省、商工会議所から金融機関やシンクタンク、企業の主催まで、講演・セミナーの地域・対象も多岐にわたる。さらに、システム開発、リスクマネジメント、エンターテインメント分野の法的スキーム開発などにも携わる。
日本経済新聞社「企業が選ぶ弁護士ランキング」(2016年)の情報管理部門で、「企業が選ぶランキング」2位に輝く。
主な著書に『新・個人情報保護法とマイナンバーの実務』(日本経済新聞出版社)、『平成29年5月施行 改正個人情報保護法の実務対応マニュアル』(大蔵財務協会)、『詳解 個人情報保護法と企業実務』(清文社)など。

※本データは、小社での最新刊発行当時に掲載されていたものです。