「4,217件」
この数字は、2022年度、個人情報保護委員会が、個人情報取扱事業者からの個人情報漏えい等の報告を受けて対応した数です。2022年4月より事故報告が義務化されたこともあり、2021年度(1,042件)と比較して約4倍に増えています。
| 参考: 令和4年度 年次報告の概要について(個人情報保護委員会) https://www.ppc.go.jp/files/pdf/050609_annual_report_gaiyou.pdf |
個人情報保護法は、個人の権利・利益を守りながら個人情報を適切に利用できることを目指した法律です。
個人情報保護法は、IT技術の進化により、個人情報が漏えいするリスクが高まったことを受けて、2005年から施行されました。その後、事業活動のグローバル化などの環境変化に対応するために、定期的に見直しが行われています。
例えば、2017年に施行された法改正では、健康情報など特別の配慮を必要とする「要配慮個人情報」に対する厳格な管理が要求される一方、個人を特定できないように加工された「匿名加工情報」により利用を促す改正が行われています。さらに、3年ごとに定期的に見直す規定が追加されています。
個人情報保護法の研修では、個人情報を適法に取得して管理すると共に、適法な手続きで利用することにより「保護と利用のバランス」を学ぶ必要があります。さらに、定期的に行われる法改正の内容を抑えておく必要があります。
今回は、個人情報保護法の研修を企画する場合のポイントと実施例をご紹介します。
無料eBook
コンプライアンスが楽しくなる!
ゲーミフィケーションで実践する教育の仕組みづくり
大手電機メーカーで実際に行われたコンプライアンス施策をもとに教育手法にフォーカスし、131ページにわたり解説しています。
1. 個人情報保護法とは
1-1. 個人情報保護の基本
個人情報保護法の研修で抑えておくべき個人情報保護の基本を振り返り、研修でのポイントを整理します。
①個人情報
個人情報とは、特定の個人が識別できる情報のことを指します。例えば、本人の氏名、生年月日、住所、音声、映像などのデータ、新聞、サイト、SNSなどの公表情報などです。
2017年の法改正により、個人識別符号が個人情報の対象に追加されました。例えば、DNA、顔、虹彩、歩行の態様、パスポート番号、年金番号、マイナンバーなどです。
②要配慮個人情報
要配慮個人情報とは、個人情報のうち、特に、プライバシーに配慮する必要がある情報のことです。
例えば、人種、信条、社会的身分、病歴、前科、犯罪被害情報などです。要配慮個人情報は厳格な管理が要求されていますので、特に注意が必要です。
③個人情報取扱事業者
個人情報取扱事業者とは、個人情報を紙や電子データなどに蓄積して、容易に検索できるデータベースとして保有し、事業活動に利用している者です。法人に加えて、町内会、サークルのような任意団体や個人事業主も含まれます。
2017年に施行された法改正により、個人情報の取扱が5000名以下の場合は、個人情報取扱事業者から除外する要件が撤廃されました。そのため、ほとんどの事業者が、個人情報取扱事業者になります。
④個人情報保護委員会
個人情報保護委員会は、個人情報保護法に基づいて設立された政府の行政機関です。
個人情報に関する基本方針を作り、個人情報取扱事業者の管理と監督を行います。個人情報に関する本人からの苦情相談や個人情報保護法の啓発活動も行っています。
1-2. 個人情報の管理
個人情報保護研修では、個人情報の管理について、以下のポイントを抑えて伝える必要があります。
①個人情報の取得
個人情報は、本人に対して、利用目的に明確にして取得する必要があります。
通常、「個人情報取扱同意書」を用いて、書面で確認します。
②個人情報の管理
取得した個人情報は、厳格に管理する必要があります。
例えば、紙媒体の場合は、他の書類と区別し、鍵のついたロッカーに保存する必要があります。データの場合、パスワードを掛けて管理します。
③個人情報の記録
本人から取得した個人情報を第三者に提供した場合、または第三者から個人情報の提供を受けた場合は、その内容を記録し、保存する義務があります。
④個人情報の消去
個人情報を利用する必要がなくなった場合、復元できない方法で消去する必要があります。
1-3. 個人情報の利用
個人情報の利用の基本として、次の違いを理解しておく必要があります。
①利用の基本
個人情報の取得には、2つの方式があります。
・オプトイン方式
事前に本人が提供を許諾した情報に限定して、第三者に提供を認める方式です。
・オプトアウト方式
本人から直接的な同意を得ることなく個人情報を第三者に提供できる方式です。ただし、第三者に提供する方法や項目などは、本人に通知する必要があります。
②加工の基本
また、個人情報を利用する場合の加工方法についても学習する必要があります。
・匿名加工情報
特定の個人を識別できず、復元できないように加工した情報です。通常の個人情報とは異なり、匿名加工情報であれば、本人の同意を得ることなくデータの活用や第三者への提供ができます。
・仮名加工情報
他の情報と照合しない限り、特定の個人を識別できないように加工した情報です。匿名加工情報と同様に、本人の同意を得ることなくデータの活用ができます。ただし、仮名加工情報は、会社などの組織内でデータ分析を行うことを想定しており、第三者への提供はできません。
個人情報、匿名加工情報、仮名加工情報の主な相違点については、次の表を参考にしてください。
引用元:個人情報保護法 令和2年改正及び令和3年改正案について、令和3年5月7日、
個人情報保護委員会、P14、(参考)個人情報・仮名加工情報・匿名各情報の対比(イメージ)
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf
1-4. 個人情報保護法の事故報告と違反
個人情報保護が漏えいするなど事故が発生した時の報告義務と罰則についても研修に盛り込むべきでしょう。具体的には次のような内容です。
① 事故報告義務
2022年4月より、次の事故の場合は、個人情報保護委員会に報告する義務があります。
・対象
要配慮個人情報が含まれる場合、財産的損害が生じる場合、不正目的の場合、1,000名を超える漏えいの場合が対象。おそれがある場合も含む。
・期限
速報は、発覚日から3~5日以内。確報は、発覚日から30日以内。
| 参考: 漏えい等報告・本人への通知の義務化について(個人情報保護委員会) https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/ |
② 違反の罰則
個人情報保護法に違反した場合、次のような罰則が科されます。
・個人情報保護委員会の命令に違反した場合、行為者は6ヶ月以内の懲役、または100万円以下の罰金、法人は1億円以下の罰金。
・個人情報データベースを不正に提供した場合、行為者は1年以下の懲役、または50万円以下の罰金、法人は1億円以下の罰金。
2. 個人情報保護研修の目的
個人情報保護法の研修目的は、保護と利用の観点で異なります。
保護の観点からは、個人情報保護法を遵守しながら個人情報を適法に取得し、適切に管理するための基準を学ぶ必要があります。
一方、利用の観点からは、適法に取得・管理する前提で積極的に事業に活かす方法を学ぶ必要があります。
個人情報の利用にかかわる可能性のあるすべての社員は、データを本人から許諾を得た範囲の利用と加工により認められた範囲で利用するための適法な方法を理解しておくことが求められます。
2-1. グローバル展開する企業では、海外の法令についての理解も必要
また、グローバルに事業展開する企業では、日本に加えて、現地法人や取引先がある国の個人情報保護法についても、基本的な条件や傾向を理解しておく必要があります。
・EU(欧州)
例えば、欧州の場合、1995年に「個人データ保護指令(指令95/46/EC)が出されており、2016年には、保護条件を厳しくしたGDPR(General Data Protection Regulation:一般データ保護規則)が施行されています。GDPRは、特に厳しい情報管理を要求している規則です。
・アメリカ
一方、米国の場合、個人情報はプライバシー情報として保護されていますが、個人情報を特別に保護する連邦法はありません。ただし、2018年、カリフォルニア州で、個人情報の厳格な保護を定めた州法が制定されており、他の州や連邦法への影響を見ておく必要があります。
・アジア
アジア・中国の場合、マレーシアで2010年、フィリピンで2012年、シンガポールで2014年、タイで2019年、中国で2021年といったように、各国で個人情報を保護する法律が制定されています。欧州の影響を受けて、シンガポールやマレーシアではGDPRに準拠する基準が定められています。
個人情報保護法が制定された背景と各国の状況の概況については、以下の記事を参照してください。
<コラム:日本がEUの十分性認定を取得>
2019年1月23日、日本とEUとの間で、EU域内の個人情報のデータ移転に関する「十分性認定」が発効しました。
EUは、個人情報を重要な情報資産と考え、個人情報の管理が十分ではないEU域外の第三国への提供を制限したいと考えていました。そのため、2018年、世界で最も厳しい情報管理を求めていると言われるGDPR(General Data Protection:一般データ規則)が施行される運びとなります。
「十分性認定」の例として、IPアドレスやCookieのようなオンライン上の識別情報も個人情報とみなす条件が規定されていることが挙げられます。また、大量の個人情報を扱う企業は、データ保護オフィサーの任命が義務付けられるなど、企業による厳しい情報管理が求められています。
特に、個人情報の第三国への提供を規制する「越境移転規制」では、次のような条件が規定されています。
① 十分な個人情報データの保護が保障できる対象国であること。十分であるか否かは、EU委員会が個別に判断。
② BCR(Binding Corporate Rules:拘束的企業準則)とSCC(Standard Contractual Clauses:標準契約条項)を締結すること。BCRは、グループ会社間における個人情報データ移転に関する契約であり、SCCは、データ移転先とデータ移転元の契約。
③ 明確な本人の同意を確認すること。
例えば、日本本社がEU域内の子会社の社員に日本と同じeラーニングや研修を実施するために、子会社の社員の個人情報データを取り寄せる場合、BCRの対象になります。
また、日本本社が研修会社に委託して、EU域内の子会社の社員にeラーニングや研修を行う場合、研修会社との間でSCCの締結が必要になります。
いずれも、BCRTとSCCは、EU委員会が定めたひな型に基づく必要があり、厳しい条件が規定されています。
GDPRの違反に対しては、厳しい罰則が定められています。
違反企業に対して、グローバル売上高の4%以下、または2000万EURO以下の高い方を上限に制裁金が科されます。
2019年、EUデータ保護局は、米Amazonに対して、個人情報の取扱がGDPRの基準を満たしていないとして、7億4600万EURO(約970億円)の制裁金を科しました。Amazonは不服として争いましたが、2021年に制裁が確定しました。
EUの十分性認定を取得できた国は、越境移転規制が免除されます。そのため、日本企業にとって、2019年に認定が発効したことは大いに意味があることといえます。
なお、十分性認定を取得した国は、アルゼンチン、カナダ、イスラエル、ニュージーランド、韓国、スイス、英国、ウルグアイ等の国々に限られています。
3. 個人情報保護研修を実施すべき時期
個人情報保護法研修の実施時期は、次の時期が考えられます。
3-1. 採用時
新人採用またはキャリア採用で新たな人材が入社した時は、社員に最初に個人情報保護法の研修を行う有効な機会です。
企業のコンプライアンス方針として、個人情報をどのように取り扱うか、個人情報保護法の基礎知識、そして、自社の個人情報管理規定に基づく適切な社内ルールを学ぶことで、企業の一員として安全に業務を遂行することができます。
3-2. 昇格時
昇格時は、社員の意識が変わる時であり、コンプライアンス教育を行う好機です。
特に、マネージャー職のように部下を持ち、組織の責任者として管理能力を期待される幹部職に昇格した時には、個人情報が漏えいした場合の事故報告の基準や必要な初期対応などを学ぶ必要があります。
3-3. 法改正時
個人情報保護法は、3年ごとに見直しが行われる法律です。そのため、法改正が行われた時には、必要に応じて、法改正の内容に基づき社内ルールの見直しを行い、全社員に徹底する必要があります。
3-4. 異動時
異動時も、コンプライアンス教育を行う好機です。特に、個人情報を日常的に取り扱う部門、社員の個人情報を取り扱う人事部門、個人情報を加工して解析する部門に異動した時は、必ず個人情報保護法に関する研修を実施するべきでしょう。
4.個人情報保護研修の対象者
個人情報保護法の研修は、次の対象者が考えられます。
基礎的な知識は、全社員が対象になります。顧客の個人情報を取り扱う部門はもちろんのこと、その他の部門に所属する社員であっても、所属する企業が社員の個人情報を取得して管理しており、自分の個人情報がどのように管理されるべきかを知っておく必要があるからです。
さらに、業務において個人情報を取り扱う部門は、基礎的な知識に加えて、社内の管理基準や事故発生時の対応ルールなど、実務的な知識も知っておく必要があります。例えば、顧客情報を取り扱うカスタマーサービス、営業、マーケティング部門などです。
また、個人情報を加工して解析する企画、データ解析部門は、取得した個人情報の利用する可能性があります。そういった部門では、適法な利用方法を重点とした研修が必要です。
社員の個人情報を取り扱う人事部門も、社員や入社希望者の個人情報を取り扱うため、研修の対象となります。
このように、研修の対象者は、学習目標に合わせて選定する方法が有効です。
コンプライアンス教育全般について、研修の対象者と学習目標の設定方法は、以下の記事を参照してください。
5. 個人情報保護研修の実施方法
5-1. 事例の有効活用
コンプライアンス研修には、具体的な事例を用いた研修が効果的です。
個人情報保護法の研修には、著名な企業の重大事故の事例がよく使われます。それに加えて、日常業務において、個人情報保護の意識を高め、事故を効果的に予防するために、ヒヤリハット事例から学ぶ研修が有効です。
| 参考: 個人情報漏洩事件・被害事例一覧(サイバーセキュリティ com) https://cybersecurity-jp.com/leakage-of-personal-information |
ヒヤリハットとは、米国の保険会社に勤務していたハインリッヒが発表した論文に基づくため、ハインリッヒの法則とも呼ばれています。
労働災害の事故を分析すると、重傷以上の災害が1件起こる背景には、軽傷を伴う災害が29件起きており、さらには事故になり得る「ヒヤリハット」する出来事が300件あるというものです。「1:29:300の法則」とも呼ばれています。
個人情報保護委員会は、個人情報の漏えい等や取扱について、企業や個人から様々な相談を受け付けています。2022年度は、24,055件の相談が寄せられていました。その中から、ヒヤリハットの事例をサイトで公開しているため、他社事例として研修に活用できます。
| 参考: 個人情報の研修資料・ヒヤリハットコーナー(個人情報保護委員会) https://www.ppc.go.jp/personalinfo/hiyarihatto/ |
研修に用いる事例は、公開されているヒヤリハット事例のような他社事例を用いる場合と自社事例を用いる場合があります。
個人情報管理規定を定めている企業は、インシデント報告として、ヒヤリハット事例の情報を収集していると思います。インシデントは、事件や事故であるアクシデントと異なり、「事故には至らないがその危険があった状態」を意味します。インシデント報告には、危険性に気がついたヒヤリハット事例が含まれているため、これらの事例から学ぶことで効果的な研修になります。
自社事例と他社事例を用いる場合の注意事項については、以下の記事を参考にしてください。
5-2. eラーニングの有効活用
個人情報保護に関する基礎知識の研修には、eラーニングが有効です。
特に、全社員を対象とする場合、法改正の知識をできるだけ早く社員に伝える場合には、eラーニングが効率的といえるでしょう。
ただし、日常的に個人情報を取り扱う部門への社内ルールの徹底や、適法に個人情報を利用した事業を考える部門への研修の場合は、eラーニングにより基礎知識を学んだ後に、グループ演習を含む集合研修を行うブレンディッド・ラーニングが効果的です。
ブレンディッド・ラーニングを用いた研修方法については、以下の関連記事を参照してください。
5-3. グループ演習の事例
ブレンディッド・ラーニングによるeラーニング後の集合研修について、グループ演習の事例を紹介します。
①ヒヤリハット事例のケーススタディ研修
このプログラムは、個人情報の漏えいを予防するためのグループ演習です。
まず、他社または自社のヒヤリハット事例を1つ選びます。その事例を用いて、以下の手順でケーススタディ演習を行います。
Step1:事実関係を理解
最初に、ヒヤリハット事例の事実関係を理解します。
いつ、誰により、どのような危険が発生したかについて、事例情報に基づき、事実関係を整理します。当事者や時系列は、関係図やマップにして整理する方法が効果的です。
Step2:問題の本質を議論
次に、問題の本質について議論します。
なぜこの問題が発生したのか、問題の発生を予防する方法はなかったのかなど、多面的な視点から問題の本質について参加者同士でディスカッションを行います。
Step3:事例から学ぶ教訓
最後に、この事例から学ぶ教訓を抽出します。ここが最も重要なプロセスです。
事実を詳しく把握し、問題の本質を議論すれば、これから自分達は何をするべきであるかが見えてくるはずです。さらに、現在の社内ルールや啓発方法に不十分な点があれば、見直すべきかを議論することにより、問題が発生するリスクを予防することができます。
②個人情報データの活用研修
このプログラムは、個人情報データを有効に活用するビジネスモデルを考えるためのグループ演習です。
一例として、個人情報データを用いた「情報銀行」のビジネスモデルを教材として、自社で同様のビジネスモデルができないかを議論する研修を紹介します。
Step1:事実関係を理解
この段階は、①「ヒヤリハット事例のケーススタディ研修」と同じです。
最初に、情報銀行の仕組みを公開資料から理解します。そのうえで、すでに情報銀行サービスを行っている事業者の事例を抽出し、何を目指した、どのようなサービスであるかを理解します。
| 参考: 情報銀行の取組(総務省) https://www.soumu.go.jp/main_content/000791752.pdf 情報銀行サービスDprime|情報銀行サービスDprime(三菱UFJ信託銀行) https://www.dprime-mutb.jp/ |
Step2:事例の特徴を分析
次に、事実関係を整理した具体的なサービス事例について、強み、弱み、メリット、デメリット、自社サービスとの比較など、多面的な観点から分析します。
ここでも、当事者や時系列は、関係図やマップして整理する方法が効果的です。
Step3:事例から学ぶ教訓
最後に、情報銀行の仕組みと抽出したサービスの分析から、自社が何を学ぶべきかの教訓を抽出します。
例えば、既存のサービスに価値を加えることはできないか、または、個人情報を利用した新しいサービスが実現できないかを議論します。
この方法は、ビジネススクールで行われているケーススタディ形式の授業形態の一つですが、企業の集合研修でも有効な方法です。
4~5名程度のグループを作り、グループで議論して論点を書き出した上で、発表し、それぞれの論点について議論する研修方法です。
eラーニングで学んだ基礎知識と集合研修で学んだ実践知識により、個人情報保護法の保護と利用をバランスよく理解することが可能です。
「個人情報保護法」をeラーニングで社員教育
eラーニング教材コース:個人情報を適切に守り有効活用する!「個人情報保護法」対策コース plus+
「知らなかった」では済まされない個人情報の取り扱い
個人情報保護法の目的は、個人の権利や利益を守りながら、個人情報を様々な産業で適切に利活用できるようにすることです。
一色正彦先生監修の本コースでは、個人情報を取り扱う上で注意すべき点や関連用語等をクイズを交えながらわかりやすく学習することができます。また、ケーススタディでは、個人情報保護の観点にける業務上の注意点や望ましい行動について学び、自身の行動に落とし込めるようになります。
本教材をeラーニングとして配信することで、効率的に「個人情報保護法」の社員教育をすることが可能です。
6. まとめ
個人情報保護法の研修では、個人情報を適法に取得して管理すると共に、適法な手続きで利用すること、「保護と利用のバランス」を学ぶ必要があります。さらに、個人情報保護法は、環境変化に対応して定期的に見直見直される法律であり、法改正の内容を抑えておく必要があることをお伝えしました。
また、個人情報保護法の研修で抑えておくべきポイントとして、個人情報保護の基本、保護、管理、利用の4点の概要を説明し、事故発生時の報告義務と違反した場合の罰則を紹介しています。
個人情報保護法の研修企画のポイントとしては、保護と利用の観点を整理しました。また、グローバルに事業展開する企業では、日本に加えて、現地法人や取引先がある国の個人情報保護法についても基本的な条件や傾向を理解しておく必要があります。
最後に研修企画をするための要素として、研修の時期、研修の実施方法を紹介しました。
研修の実施方法としては、基礎知識をeラーニングで学び、実践知識をグループ演習で学ぶブレンディッド・ラーニングを紹介しています。グループ演習では、事例を用いたケーススタディが有効です。
ヒヤリハット事例を用いたケーススタディと情報銀行の事例を用いたケーススタディの例は、業種を問わず様々な企業の研修プログラムとしてご活用頂けるのではないでしょうか。
今回ご紹介した個人情報保護法のポイントと研修企画の方法から、個人情報保護法の研修を実施する意義をご理解の上、自社の最適なコンプライアンスの実現に取り組んでください。
- 令和4年度 年次報告の概要について(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/050609_annual_report_gaiyou.pdf - 個人情報保護法 令和2年改正及び令和3年改正案について(個人情報保護委員会)
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf - 漏えい等報告・本人への通知の義務化について(個人情報保護委員会)
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/ - 漏えい等の対応とお役立ち資料(個人情報保護委員会)
https://www.ppc.go.jp/personalinfo/legal/leakAction/ - 日本と EU の間で十分性認定が発効(大和総研)
https://www.dir.co.jp/report/research/law-research/law-others/20190201_020609.pdf - 「アマゾンに制裁金約970億円?EUのGDPR違反で(CNET Japan)
https://japan.cnet.com/article/35174640/ - 「GDPRの十分性認定とは?日本企業への影響と求められる対応」,(Priv Lab)
https://privtech.co.jp/blog/law/gdpr_adequate_protection.html - ASEAN主要国における個人情報保護規程(JETRO)
https://www.jetro.go.jp/biz/areareports/2021/e178293b9f08889a.html - 個人情報漏洩事件・被害事例一覧(サイバーセキュリティ com)
https://cybersecurity-jp.com/leakage-of-personal-information - 個人情報の研修資料・ヒヤリハットコーナー(個人情報保護委員会)
https://www.ppc.go.jp/personalinfo/hiyarihatto/ - 情報銀行の取組(総務省)
https://www.soumu.go.jp/main_content/000791752.pdf - 情報銀行サービスDprime|情報銀行サービスDprime(三菱UFJ信託銀行)
https://www.dprime-mutb.jp/
