Answer

日本においても、個人情報の重要性が認識されるようになってから、その情報の収集、管理及び利用について、順次、個人情報保護法（以下「法」といいます。）をはじめとする法令による適切な取り扱いを求める制度が拡充されてきました。

※沿革の概要について個はこちら（個人情報保護委員会資料「個人情報保護法の過去・現在・未来」）。

中小企業においては、適切な個人情報の取扱いのため課題となることが多いのは安全管理措置（法２３条以下）です。

そこで、今回は、中小企業における個人情報の安全管理措置についてご説明します。

１.安全管理措置として会社が行うべきことについて

安全管理措置として、会社は、①組織的安全管理措置、②人的安全管理措置、③物理的安全管理措置、④技術的安全管理措置、⑤外的環境の把握の５項目を講じるよう求められています（個人情報保護ガイドライン通則編（以下「GL」といいます。）。１６６頁。）それぞれどういったことが求められているのか、及び、対応の具体的な内容とはどのようなものか、以下、ご説明します。

（１）組織的安全管理措置

組織的安全管理措置は、個人情報を扱うことができる者を限定するなど、組織内における個人情報取扱者の権限と責任を明確化することが必要になります。

具体的には、個人情報を取り扱う情報システムを使用できる従業者を限定、事業者内の責任者を定める、管理者及び情報の取扱いに関する規程等を整備する方法が考えられます。

（２）人的安全管理措置

人的安全管理は、個人情報を取り扱う従業員が適切に個人情報を取り扱うことができるよう、研修等を実施し、個人情報の保護に関する知識を有することを目的とする措置です。

具体的には、従業者に対する適切な研修（個人情報保護法の適用範囲・義務の規定、カメラ画像・顔特徴データ等の取扱いに関する講義等）を実施する等の方法が考えられます。

（３）物理的安全管理措置

物理的安全管理措置は、個人情報へのアクセスを物理的に制限することをいいます。具体的には、個人情報を保存する電子媒体等の盗難又は紛失等を防止するために、設置場所に応じて鍵をかける、専用ＰＣを設置する等の方法が考えられます。

（４）技術的安全管理措置

技術的安全管理措置は、個人情報を取り扱う情報システムにおいて、技術的に個人情報へのアクセスを制限することをいいます。具体的には、カメラ画像・顔特徴データ等を取り扱う場合や、ＩＰカメラ（ネットワークカメラ、ウェブカメラ等です。）のようにネットワークを介してカメラ画像等を取り扱う場合に、当該システムへの技術的なアクセス制御（指紋認証、顔認証等）や漏えい防止策（複合化が困難なプログラムを用いて暗号化する）等を講じる方法が考えられます。

（５）外部環境の把握

個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければなりません。

海外進出をする場合には、現地の法制にも留意する必要があります。

２. 自社内でのチェック方法について

上記のように、安全管理措置として講じる対策は多岐にわたります。そのため、中小規模の企業では独自の対応が難しい場合も想定されます。

そこで、個人情報保護委員会は、中小企業で利用できるチェックリストを公表しています（安全管理措置に関するチェックリストはこちら）

このチェックリストを自社用にアレンジする等した上で、担当者の管理する範囲のチェックを行うと、効率よく適切な安全管理措置を実施することが期待できます。

３. まとめ

以上のように、安全管理措置として行うべきことは多数あり、限られた人員で効率よく、適切に、安全な個人情報を管理することが中小企業に求められています。

冒頭でもご紹介したように、現代の個人情報の重要性は増していますので、会社のリスクが現実となってしまうことを防ぐためにも、リストを利用して上手く対応していただければと思います。

具体的な対応で困ったり、悩んだりすることがあれば、是非、お近くの弁護士等の専門家にご相談ください。