個人情報の取り扱いに対するリスク管理

ひとたび個人情報が流出すれば社会的な信用失墜だけでなく、経済的な損失も大きくなります。

第三者によるシステムへの攻撃による個人情報の流出が大きく報道されていますが、第三者による流出というよりも、実は、内部の担当者のちょっとしたミス(人為的なミス)による流出の方が問題になっています。

個人情報保護法の定義や取り扱いについては、少し構えがちですが、比較的理解しやすいことばかりです。

一方、実際の流出事例は、BCCメールをCCメールにしたり、非公開設定を公開設定にしていたり、USB端末を紛失したり、SNSにうっかり写り込んだり、誰もがやってしまいがちなミスにより発生します。内部ルールの策定と徹底、一人一人が自分ごととして認識することが重要です。研修では、実際の個人情報の流出事件を紹介し、なぜ個人情報が流出したのか、どのようにしたら防げたのか、今後どのように対応していけばいいのかを考えます。

個人情報コンプライアンス研修の目的・目標

個人情報保護法の基本と個人情報の適正な取り扱いを理解し、法令違反や個人情報の流出などの不祥事を予防する。

個人情報コンプライアンス研修の内容 ※6.情報セキュリティについて追加

  1. オープニング事例紹介(SNS利用時の注意点)
  2. 改正個人情報保護法の3つのポイント(平成29年5月30日施行)
  3. 個人情報保護法の基礎知識
  4. 個人情報の取り扱いの実務
  5. 個人情報の流出と損害賠償・事例紹介
  6. 情報セキュリティ

1.事例紹介として①SNS利用時の注意点②個人情報の流出と損害賠償

【オープニング事例紹介(SNS利用時の注意点)】
SNSによる個人情報の流出(その1)・・・ツイッターに税務書類(税務担当職員による投稿)
ブログによる個人情報の流出(その2)・・・病院の公式ブログの研修写真に患者400人の個人情報

【個人情報の流出と損害賠償】
信用失墜につながる社会的損失と損害賠償による経済的損失
最近の個人情報流出事件、賠償額の相場は1人500円?裁判になると高額に!
史上最悪のセンシティブ個人情報流出「TBC」事件とは

2.改正個人情報保護法の3つのポイント(平成29年5月30日施行)

  • 平成29年5月30日に10年ぶりの大改正
  • ビッグデータの活用 ⇒ 商業利用(第三者提供)するために「匿名加工情報」を新たに定義付け
  • 個人情報の定義をより細かく定義づけ ⇒ 「要配慮情報(医療関係情報など)」を新たに定義づけ、「個人識別符号」を明確に定義づけ
  • 個人情報取扱事業者の定義の変更 ⇒ 法律の適用除外だった5000人以下の個人情報取扱事業者の除外規定の削除

3.個人情報保護法の基礎知識

ポイントは定義をしっかり理解することです。条文をしっかり読んで理解しましょう。条文の理解が主となるので、眠たくなりがちですが、ここは仕方がないです。図表を使って解説しますので、できるだけがんばりましょう。

個人情報保護法の基礎知識(その1)定義

  • 個人情報、個人識別符合、要配慮個人情報、匿名加工情報
  • 個人データ、保有個人データ、個人情報データベース等
  • 個人情報取扱事業者、匿名加工情報取扱事業者

個人情報保護法の基礎知識(その2)個人情報取扱事業者の責務

  • データの収集時の義務 ⇒ 利用目的の特定、利用目的の通知、適正な取得
  • データーの保管時の義務 ⇒ 安全管理措置、第三者提供の制限、保有個人データの開示・訂正・削除
  • 個人情報の取り扱いに関する苦情の処理および体制の整備

ガイドライン ※個人情報保護委員会のホームページを参照※

個人情報保護委員会 >個人情報保護法等 法令・ガイドライン等
https://www.ppc.go.jp/personalinfo/legal/

https://www.ppc.go.jp/personalinfo/legal/

◆個人情報の保護に関する法律についてのガイドライン(通則編・その他)
◆個人データの漏えい等の事案が発生した場合等の対応について・Q&A
◆中小企業向けQ&A(抜粋版)(平成30年7月)中小企業向けにガイドラインQ&Aを抜粋した資料

特定分野の場合は別途ガイドラインあり

◆特定分野ガイドライン 金融分野・医療分野・その他(電気通信事業・放送・郵便・信書便・個人遺伝情報)
 ※(例)医療関連分野ガイダンス
   医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス、Q&A(事例集)

4.個人情報の取り扱いの実務

  • 利用目的の通知(お問い合わせフォーム、申込書、アンケートなど)
  • 個人情報の訂正・削除等の問い合わせへの対応
  • プライバシーポリシーの作成
  • WEBサービスへの対応

5.個人情報の流出と損害賠償・事例紹介

  • 信用失墜につながる社会的損失と損害賠償による経済的損失
  • 最近の個人情報流出事件、賠償額の相場は1人500円?裁判になると高額に!
  • 史上最悪のセンシティブ個人情報流出「TBC」事件とは

6.情報セキュリティ ※独立行政法人 情報処理推進機構(IPA)のホームページを参照

組織対応

  • 標的型攻撃(メール)による機密情報の窃取
  • ランサムウェア(身代金要求型ウイルス)による被害
  • 内部不正による情報漏えい
  • 不注意による情報漏えい
  • パソコン廃棄(ハードディスクの不正転売等)による情報漏洩
  • 予期せぬIT障害(データの消失)

情報処理推進機構ホームページ
HOME>情報セキュリティ
https://www.ipa.go.jp/security/index.html

https://www.ipa.go.jp/security/index.html

◆情報セキュリティ10大脅威(毎年公表)

◆中小企業の情報セキュリティ対策ガイドライン

  • セキュリティポリシーの策定と周知徹底
  • 情報セキュリティの脅威と対策

個人対応

  • プライベートPC・スマートフォンからの情報流出
  • 公式・非公式・個人SNS等への書き込みによる炎上
  • SNS等への秘密情報の書き込みと流出
  • 匿名は存在しない(IPアドレスへの理解)

研修講師の依頼について

料金

  • 【企業研修】10~15万円(消費税・旅費交通費・資料代等は別途、30人程度を目安)、2時間~3時間(1時間当たり5万円を目安に)
  • 社内や団体等で研修予算が定められている場合などはご相談ください
  • プロジェクター等の機材がない場合は所有しているので持参します
  • 問い合わせフォーム」または「電話・FAX(078-201-4137)」等でご相談ください。
  • 近隣の場合は事前に訪問にて、研修内容についてご説明・情報交換します。

【参考】個人情報保護法研修レポート

個人情報コンプライアンス研修企画書のダウンロード

研修企画書は決裁用にご利用ください(カスタマイズした企画書が必要な場合はご相談ください)

  • 【一般企業向け】2-3時間の研修用 ※2020年6月4日更新
  • 【一般企業向け】半日-1日の研修用 ※2020年6月4日更新
  • 【講師プロフィール】事業所での研修企画の提案・稟議・決済用

(画像クリックで拡大表示)

【一般企業向け】2-3時間の研修用 ※2020年6月4日更新

【一般企業向け】半日-1日の研修用 ※2020年6月4日更新

企画書のダウンロード(クリックするとダウンロードが始まります)

通常のコンプライアンス研修に個人情報の分野を追加して、じっくり研修するのもおすすめです

Pocket