個人情報の保護体制は大丈夫ですか?

notebook_image

2005年4月1日に個人情報の保護に関する法律(いわゆる「個人情報保護法」、2003年5月成立)が全面施行されて16年経ちました。当時は、原則として5,000件を超える生存する個人に関する情報を持っている民間組織が法律の適用を受けたこともあり、あまりピンときていなかったり、自分たちが適用を受けるかどうかわかっていない(つまり、自分の所属する組織にどれだけの個人情報がどのような形で存在するか把握できていない)というNPOのみなさんも多かったように思います。

NPOこそ個人情報の保護に敏感になるべき

NPOは、多様な人が多様なかたちで関わっています。また、従来から自宅で作業したりインターネットでデータをやりとりすることが多く、障がいや介護、生活保護受給の状況や「いのち」に関わる相談事業など、とくに漏洩があってはならない個人情報を扱うNPOも多いので、NPOにとって個人情報の保護や情報セキュリティへの取り組みは非常に重要です。

個人情報は「情報」ではありますが、それは「その人」そのものでもあります。ひとりひとりの人権や人格を尊重することは、個人情報保護における根底となる考え方ですので、NPOのみなさんにはぜひ、真摯に取り組んでいただきたい分野です。

昨日、総務省が委託していた事業者のサーバーが不正アクセスを受けて自治体職員、NPO法人や自治会関係者等の個人情報が流出した可能性があると発表しました(自治体職員らの情報流出恐れ 委託先に不正アクセス―総務省)。この記事が書かれた時点では、実際に流出があったと確認はされていないそうです。

個人情報保護法では、国や地方公共団体、そして民間の個人情報取扱事業者の個人情報保護に関する責務をそれぞれ別に定めています。NPOも含まれる民間の個人情報取扱事業者には、委託先の監督が適切に「個人データ」の安全管理が図られるよう、委託先に対する必要かつ適切な監督を行なうことが求められています。(「個人データ」に関する細かい定義はここでは省きますが、データベース等に含まれる個人情報だと思ってください。)

情報管理・共有などで自分たちが利用しているサービスの再点検を

上記の報道では、事業者名などの詳細がわかりませんが、NPOのみなさんには、こういう報道があったときに、「自分たちが組織内外の人たちとともに使っている情報管理・共有サービスは大丈夫だろうか」と再点検をしてみてほしいと思います。

誰が再点検したらいいの?と思われるかもしれません。もし総務担当とか、情報セキュリティ担当とか、担当がないのであれば、組織内でまずは問題提起をして、事務局長が担当を決めてもいいと思います。「いま年度始まって忙しいし」と思うかもしれませんが、そう思っていたらいつまでも先延ばしです。「いま提案して、来月点検」でもいいので、「いま」伝えて「近い将来にそのための時間を確保する」ことを心がけてみてください。

  1. 自分たちが利用しているサービスやそのサービスを運営している事業者の体制はどのようなものか
  2. 契約書の内容は(双方によって)守られているか
  3. 自分たちが委託先を選ぶ基準は適切か(そもそも、基準は存在するか?)

まずは、この3点からスタートしてみてはいかがでしょうか。

さいごに:少しお知らせ

3月・4月で人の出入りがあったというNPOも多いと思います。みなさんのNPOを「卒業」した人が、クラウドサービスや(とくに共有している)メールサービスなどにいつまでもアクセスできる状態になっていませんか?情報はアクセスするべき人だけがアクセスできる状態にあることが重要です。ログインパスワードを変えるようにしてください。

テレワークが普及するにつれて、みなさんもさまざまな情報を得たり、活動の方法が変わってきたりしたと思います。それでも自分たちにとって何が適切かということは、なかなかわかりにくいと思います。

参考として、たとえば厚生労働省の「テレワーク総合ポータルサイト」をご覧になるのもいいと思います。このサイト内の「関連情報 テレワークに関する資料を入手したい」をクリックすると、テレワーク関連資料のリストが表示されます。情報セキュリティの世界はどんどん変わりはしますが、「テレワークセキュリティガイドライン(平成30年4月).pdf」なども参考になります。さっとでも目を通してみることをお勧めします。

NPOリスク・マネジメント・オフィスでは、個人情報保護の分野に限らず、個別支援プログラムを用意しています。リスク・マネジメントのさまざまな分野から、ご希望に合う情報に関するニュースと簡単なアドバイスをお送りするタイプから、がっつり規程づくりやワークショップなども実施するコンサルテーションタイプまで、対応可能です。(ただし、対応できない分野もあります。)契約期間も、短期集中型から中長期にわたる継続的なかかわり方まで、さまざまです。現在、あと1~2件のリクエストにお応えできそうです。ご興味のある方は、ぜひお問い合わせフォームから、ご連絡ください。

(中原)