ブログ blog

システム開発部

2017.01.25

「個人情報保護法⑧」

1

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報取得時における利用目的」について記載しました。
今回は「個人情報取得における委託契約」について記載します。

 「個人情報の保護に関する法律」(個人情報保護法)では、個人情報取扱事業者に対し、
保有する個人情報を安全に管理することを求めています。
それは、自社内の管理体制のみならず委託先の監督義務についても言及しており、
業務委託先の安全管理体制に対する監督を怠れば法に抵触するということになっています。

 しかし、個人情報保護法の中では、あまり具体的な対策には言及されていません。
「委託先の監督」という点で、どのような対策を取っておくことが重要なのでしょうか。

『委託先の監督義務』
 個人情報保護法では、個人情報取扱事業者に対し、以下のように委託先の監督義務をうたっています。

  第二十二条(委託先の監督)
   個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、
   その取扱いを委託された個人データの安全管理が図られるよう、
   委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 この「必要かつ適切な監督」とは具体的にはどんなことなのでしょうか。
 経済産業省のガイドラインでは以下のように解説しています。

 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、
 法第20条に基づく安全管理措置を順守させるよう、
 受託者に対し必要かつ適切な監督をしなければならない。
  (中略)
 「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、
 必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むと
 ともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。

 このガイドラインから読み取れることが2点あります。
  ・個人情報の取り扱いについて委託元が求める安全管理措置を明記したうえで、契約を交わすこと
  ・契約内容が順守されているかを定期的に確認すること

 安全管理措置を明記した契約を交わす
  委託元として委託先に求める安全管理措置を検討する必要があります。
  これらは当然のことながら、自社で行っている安全管理措置を基準とし、
  それと同等のものを委託先にも求めていくことが考えられます。

  時に、この「安全管理措置」が行われているという証明(お墨付き)ということで
  「プライバシーマーク」(Pマーク)といった認証制度を委託先選定の基準とする場合が
  あります。Pマークは、JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの
  要求事項)に準拠した対策がされているかどうかを審査し、認定するという制度です。

  Pマークで求められる安全管理対策は、「安全管理措置として何をすればよいのか」という
  指標になっており、こういった指標を用いて安全管理のレベルを判断することができます。
  この安全管理のレベルを「委託先の選定基準」とすることができます。
  個人情報取扱事業者は、委託先の選定基準を持ち、その選定基準をクリアした業者にのみ
  個人情報を委託すべきであり、法もこれを求めています。

  なお、「Pマーク取得」「ISMS取得」といったチェック項目も1つの基準ではありますが、
  それだけでなく委託先が具体的にどのような安全管理措置を取っている企業なのか、
  ということをチェックできることが重要です。
  そのような契約書は、パートナー選定の幅を広げる選択肢の1つになると思います。

 契約内容が順守されているかを定期的に確認する
  いわゆる「監査をする」ということです。委託元が委託先の状況を定期的に確認(監査)
  することは、委託先の了解の下で行われるべきことですので、契約書にも盛り込んで
  おきましょう。監査そのもののやり方や程度はそれぞれであると思いますが、いずれにしても
  委託元は、委託先が約束事の安全管理をどのように行っているかを、確認することが必要です。

  個人情報保護に関する契約において、「監査」の項目を抜くことはできないと考えてください。
  とはいえ、監査の方法については、相談の余地がありますので、契約書の記載内容も含め、
  双方協議のうえ決定します。

『事故時の責任分担』
 JIS Q 15001では、委託処理に関して以下のような要求があります。

  4.4.4.3 個人情報の委託処理に関する措置
   事業者が、情報処理を委託するなどのために個人情報を預託する場合は、
   十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければならない。
   また、契約によって、次に示す内容を規定し、その保護水準を担保しなければならない。
   a) 個人情報に関する秘密保持
   b) 再委託に関する事項について
   c) 事故時の責任分担
   d) 契約終了時の返却及び消去
   当該契約書などの書面又はこれに代わる記録を、個人情報の保有期間にわたって保存しなければ
   ならない。

 このようにJIS Q 15001では、事故時の責任分担についても契約書に盛り込むことを要求して
 います。
 具体的には、委託先または再委託先が情報を漏えいした場合、
 どの程度の責任(賠償責任)を負うかという内容を盛り込むことになります。

 契約書の中に、「すべての責任」「全額」といった文言を見ることがありますが、
 個人情報の漏えいに関しては被害額というのは想定することが難しく上限を決めることも難しいとされ ています。
 それ故、「全額」の補償をすることが現実的ではないことも事実なのです。

 漏えい事故・事件というのは、十分な安全管理対策を行っていたとしても、可能性は0%になり得ない
 ものです。
 逆にいえば、100%の安全管理対策はありません。
 委託元としては、委託先に責任を移転したい気持ちがありますが、
 委託元として無理な契約を交わすことのないように慎重に検討しましょう。
 もちろん、できる限りの安全管理対策を怠らないことはいうまでもありません。

『再委託について』
 経済産業省のガイドラインでは、再委託について以下のような記述があります。
  また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託を
  した際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、
  元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。

 必要かつ適切な監督」の中には、再委託という観点も含まれています。
 委託された業務を孫請け会社へ委託する、ということは珍しくありません。
 経済産業省のガイドラインでは、この再委託先に個人データの全部または一部を委託する場合は、
 第20条に基づく安全管理措置を順守させるよう求めています。

  第二十条(安全管理措置)
   個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の
   個人データの安全管理のために必要かつ適切な措置を講じなければならない。

 個人情報保護法では、具体的な「必要かつ適切な措置」については言及していません。
 より具体的な内容は、経済産業省のガイドラインに見ることができます。
 ガイドラインでは、これらの項目について、さらに細かい対策について触れていますが、
 すべての項目について「望まれる事項」として記されています。

 いずれにせよ、安全管理対策について法的にどこまで行わなくてはならない、
 ということは定められていないわけです。
 非常にあいまいではありますが、実際、漏えい事故を起こし、裁判で「適切だったかどうか」を裁かれ て、初めてそれが適切だったかどうかが評価されるということになります。

 それ故、企業としてはより強固な安全管理措置を取る方向性として、
 JIS Q 15001の要求事項などを参考にしていくことが望ましいといえます。
 安全管理措置の内容は、第5回で紹介します。

 では、再委託先についての不適切な監督とはどのような場合でしょうか。
 以下の事例を見ると、再委託先が漏えいなどを起こしたときが問題であるとしています。
 事故が起こってからでは遅いわけですから、漏えいなどが起こらないように管理することが大切です。

  【受託者に必要かつ適切な監督を行っていない場合】
    事例1) 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず
          外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
    事例2) 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、
          結果、受託者が個人データを漏えいした場合
    事例3) 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の
          確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを
         漏えいした場合

 事例3に「再委託の条件に関する指示を受託者に行わず」とありますので、
 委託元はその再委託先との契約の内容までも関与する必要があるということになります。

 また、以下のような項目もガイドラインには記されています。

  個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
  ・委託者及び受託者の責任の明確化
  ・個人データの安全管理に関する事項
   1.個人データの漏えい防止、盗用禁止に関する事項
   2.委託契約範囲外の加工、利用の禁止
   3.委託契約範囲外の複写、複製の禁止
   4.委託契約期間
   5.委託契約終了後の個人データの返還・消去・廃棄に関する事項  
  ・再委託に関する事項
   1.再委託を行うに当たっての委託者への文書による報告
  ・個人データの取扱状況に関する委託者への報告の内容及び頻度
  ・契約内容が順守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
  ・契約内容が順守されていなかった場合の措置
  ・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

 契約書を作成する際には、上記項目を考慮する必要があります。
 「Pマーク」や「ISMS」というチェック項目があれば、委託先を監督したことになると安易に
 考えない方がよいということです。

『再委託先との契約内容の確認』
 委託元が、委託先と再委託先との契約内容に関与することが重要であると解説してきました。
 では、再委託先との契約内容をきちんと把握するにはどうしたらよいでしょうか。
 一番明確なのは、その契約書そのものを目にすることです。

 多くの場合、契約書には契約金額なども記載されることがあります。
 金額が書かれた時点で、それを第三者に見せることはできなくなります。
 ですから、個人情報保護関連の契約を行う場合、金額の書かれた契約書とは別の書面にて
 個人情報の取り扱いについての契約を取り交わすことをお勧めします。
 これにより、再委託先と取り交わした契約内容の確認が容易にできるようになります。

 委託元は、自社と委託先とが取り交わす契約書を、委託先と再委託先の契約に使用することを
 求めることもできます。
 評価先チェックシートや、金額記載のない個人情報の取り扱いに関する契約書など、
 実際に見ることができる契約書として用意しておくことをお勧めします。

2

次回は「安全管理」について記載したいと思います。

2016.05.28

「個人情報保護法⑦」

1

本日、ブログを担当するシステム開発課の鈴木です。
前回は「保有個人データに対する法律」について記載しました。
今回は「個人情報取得時における利用目的」について記載します。

「個人情報の保護に関する法律」(以下、個人情報保護法)では、情報主体(個人情報を提供する本人)
のさまざまな権利と個人情報取扱事業者の義務をうたっています。

その中では、「自己の個人情報の使われ方を知る」という権利が一番重要で大きなテーマです。
この法律は、自己の個人情報が何に使われるために収集されるかを、情報主体が知ったうえで個人情報を
提供しましょう、という法律といえます。

では、個人情報取扱事業者となった企業は、どこまで利用目的を特定しておく必要があるのでしょうか?


『情報取得時に公表すべき事項』

個人情報取扱事業者が個人情報を収集するときには、情報主体に対し以下のような内容を公表しておく
必要があります。

第二十四条(保有個人データに関する事項の公表等)
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的
  (第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による
  求めに応じる手続
 (第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で
  定めるもの

誰が、何のために個人情報を収集するのか、ということが本人に分かるようにしておくことが
義務付けられているのです。


『利用目的の通知義務』

個人情報保護法では、個人情報取扱事業者に対し、情報主体から個人情報を収集する際に
利用目的について 通知義務を課しています。

第十八条(取得に際しての利用目的の通知等)
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している
場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、
内容が本人に認識される合理的かつ適切な方法によらなければならない。

事例1)面談においては、口頭又はちらし等の文書を渡すこと。
事例2)電話においては、口頭又は自動応答装置等で知らせること。
事例3)隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で
     送付すること。
事例4)電話勧誘販売において、勧誘の電話において口頭の方法によること。
事例5)電子商取引において、取引の確認を行うための自動応答の電子メールに記載して送信
     すること。

「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることが
できるように発表すること)をいう。
ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法に
よらなければならない。

事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載、自社の
    店舗・事務所内におけるポスター等の掲示、パンフレット等の備置き・配布等
事例2)店舗販売においては、店舗の見やすい場所への掲示によること。
事例3)通信販売においては、通信販売用のパンフレット等への記載によること。

「通知又は公表」の中には、口頭での通知も許されています。
情報主体に対し利用目的を通知するという方法の中で「口頭での通知」は一番簡単でありますが、
一番不確実な方法ともいえます。
なぜなら、「いった、いわない」の議論に発展する可能性があるからです。
個人情報保護法への対応をするに当たって、個人情報取扱事業者が気を付けたいことに「証拠を残す」と
いうことがあります。
確かに法は守っており、口頭での通知を行っていれば、法律違反にはなりませんが、何かのトラブルに
なった場合に、口頭でいったことを証明することが必要になるかもしれません。
それ故、通知または公表する場合、文面を見せる方法(書面やホームページへの掲載)がより確実な方法
であるといえます。
さらに確実な方法には「同意を得る」ということが考えられます。
実際、JIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」では同意を
得るということを求めています。
特に収集する個人情報が機微情報である場合などは、JIS Q 15001では「明示的な同意」を求めて
いますので、個人情報保護法ではうたわれていなくても、同意を得ることをお勧めします。
個人情報の重要度に応じて、通知または公表の手段について、検討する必要があります。

4.4.2.3 特定の機微な個人情報の収集の禁止
次に示す内容を含む個人情報の収集、利用叉は提供は行ってはならない。ただし、これらの収集、
利用叉は提供について、明示的な情報主体の同意、法令に特別の規定がある場合、及び司法手続上
必要不可欠である場合は、この限りでは無い。

a)思想、信条及び宗教に関する事項。
b)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体、精神障害、犯罪歴、
 その他社会的差別の原因となる事項。
c)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。
d)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。
e)保健医療及び性生活。


『利用目的の特定』

個人情報保護法では、個人情報を取得するときに、利用目的を特定しなくてはならないと
うたっています。

第十五条(利用目的の特定)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」と
いう。)をできる限り特定しなければならない。

利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、
個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを可能な限り具体的に
特定する必要がある。
抽象的、一般的な特定では、「できる限り特定」には当たらないとしています。以下が、利用目的を
特定していない事例です。

事例1)「事業活動に用いるため」
事例2)「提供するサービスの向上のため」
事例3)「マーケティング活動に用いるため」

本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、
個別的に特定しなければならない。

要するに、通知または公表された利用目的を知ることで、情報主体が個人情報がどのように扱われるのか
を予測できるように利用目的を特定する必要があるのです。

個人情報の利用目的については、情報主体が個人情報を提供するタイミングで目に触れることが
求められています。

事例1) 利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付すること
    (契約約款又は利用条件等の書面(略)中に利用目的条項を記載する場合は、例えば、裏面約款に
    利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面
    にも記述する等本人が実際に利用目的を目にできるよう留意する必要がある。)
事例2) ネットワーク上においては、本人がアクセスした自社のウェブ画面上、又は本人の端末装置上に
    その利用目的を明記すること(ネットワーク上において個人情報を取得する場合は、本人が送信
    ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作
    でページ遷移するよう設定したリンクやボタンを含む。)が本人の目にとまるようその配置に
    留意する必要がある。)

つまり、利用目的をどこかに書いておけばよい、ということでなく、収集時にきちんと本人の目に
触れることが重要なのです。

第十八条(取得に際しての利用目的の通知等)
第4項 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の
  権利利益を害するおそれがある場合
二 利用目的を本人に通知 し、又は公表することにより当該個人情報取扱事業者の権利又は
  正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で
  あって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれが
  あるとき 四 取得の状況からみて利用目的が明らかであると認められる場合

例えば、通販で商品を届けるためには住所・氏名などの送り先情報が必要です。
この場合、住所・氏名などの個人情報を取得することは第4項の四に当たりますので、法的には
利用目的適用外と考えることができます。もちろん、今後の商品案内を送るなど別の用途で
個人情報を利用したい場合には、利用目的を通知または公表しておく必要があります。

『利用目的の特定の具体例』

・アンケート収集
「本アンケートにご記入いただいた内容は、今後、弊社からの教育プログラムのご案内の送付および、
コースを改善する際の情報としてのみ利用いたします。第三者へ開示することは一切ございません。」

★ポイント
アンケートに記入すること自体、何のためなのかを記述する必要があります。多くの場合「今後の
参考に」や「改善のため」ということがアンケートの目的でもあります。
社内でどのように利用するかは、あまり情報主体には関係がなく、一番問題なのは、そのアンケートで
収集した個人情報を元に、今後本人に対して何らかのアクションを起こすのか、ということです。

また、第三者提供については、法的には本人の同意さえあれば問題のない行為です。
本人の同意なく第三者提供してはならない、ということですから、第三者提供の予定があれば、
きちんと明示し同意を得るようにしましょう。

・通販
「お客さまから収集した個人情報は、商品のお届け、アフターサービス、決済などのために利用します。
上記利用目的の達成に必要な範囲において、弊社契約基準を満たした委託先に、お客さまの個人情報を
委託することがあります。」

★ポイント
上記のような場合、今後のセールスには、個人情報を利用することはできません。
あくまでも、今回限りの買い物のために個人情報を利用する、ということになります。

今後のセールスに利用しない個人情報を、企業が保有することは自由ですが、利用しない個人情報を
持ち続けることはお勧めできません。
個人情報を収集する際には、その特定した利用目的に沿った情報のみを取得するということも重要です。
個人情報収集のタイミングで、まとめてあれこれ情報を取りたいと思うのが企業側の考えでもあります
が、この法律により、利用目的から大きく外れた情報の収集はできないということになります。

第十六条(利用目的による制限)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の
達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
第2項 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継すること
    に伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該
    個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。


『利用目的の変更』

利用目的の変更について、個人情報保護法では以下のような制限を設けています。

第十五条(利用目的の特定)
第2項 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有する
    と合理的に認められる範囲を超えて行ってはならない。
第十八条(取得に際しての利用目的の通知等)
第3項 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知
   し、又は公表しなければならない。

要約すると次のように解釈できます。収集時に通知または公表した利用目的の変更は、本人が想定
できる範囲でしかできません。
例えば、本人が想定できる範囲の利用目的の変更の例としては、連絡手段をメールから郵送に変更する
といったことが挙げられます。
また、変更したときにはあらためて通知または公表しなければなりません。ただし本人の同意があれば、
通知なしでも利用目的の変更ができます。

同意を得るために個人情報を利用すること(メールの送付や電話をかけること等)は、当初の利用目的と
して記載されていない場合でも、目的外利用には該当しない。

つまり、利用目的の変更の同意を得るために、本人に対し連絡を取ることは問題ない、ということです。


『個人情報保護法施行以前に収集した個人情報の取り扱い』

では、個人情報保護法施行前に収集した個人情報は、どうしたらよいのでしょう。
法施行前は、多くの企業が利用目的を特定、通知せずに個人情報を収集していました。

また、収集した個人情報は、企業の判断でどのようにでも利用されることが当たり前でした。して 企業によっては、名簿業者へ顧客リストを販売したり、ほかの業者へ情報を流したりすることも
多く見られました。
個人情報保護法により、情報主体本人が了解(理解)していないような利用はしてはならないことになります。
では、利用目的を通知または公表しないで収集した個人情報はすべて利用できない、ということに
なるのでしょうか?
まずは、現在保有している個人情報の利用目的を特定しましょう。
いままで特に明確に利用目的を特定、通知していなかった場合でも、意外と利用目的ははっきり
しているものです。
個人情報保護法対策として、すでに保有している個人情報が、今後も利用したい個人情報であるかを
見極めるために、個人情報の利用目的を特定します。
もし、利用目的の分からない(特定できない)個人情報があったら、迷わず捨てることです。
個人情報を無意味に保有していることは、企業にとってリスクを大きくすることになります。
何のために個人情報を保有するのかをよく検討し、利用するもののみを保有することが重要です。
個人情報保護法施行前に収集した個人情報は、収集時の通知義務(第十八条)は適用されませんが、
第二十四条第1項は適用されます。

第二十四条(保有個人データに関する事項の公表等)
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的
 (第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による
  求めに応じる手続
 (第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として
  政令で定めるもの

「本人の知り得る状態」について、以下のように解説しています。
「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ウェブ画面への
掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、
知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に
置かなければならない。
必ずしもウェブ画面への掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを
必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的
かつ適切な方法によらなければならない。

事例1) 問い合わせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できるよう
    体制を構築しておくこと。
事例2) 店舗販売において、店舗にパンフレットを備え置くこと。
事例3) 電子商取引において、問い合わせ先のメールアドレスを明記すること。

これにより、個人情報保護法施行前から保有している個人情報を利用する場合は、第二十四条第1項に
従って、利用のタイミング(またはそれ以前)に利用目的を通知または公表しなければなりません。
ホームページへの掲載も通知または公表となりますが、顧客が頻繁にホームページを見ることが少ないと
予想される場合は、個別に通知をした方が安心です。
個人情報保護法に対応することプラス、顧客満足度も視野に入れて対応することが求められます。
個人情報を収集するには、利用目的を本人の知るところにする、ということが重要であることを
ご理解いただけましたか。
個人情報保護法は、消極的な個人情報の利用を求めてはいません。
企業は、個人情報をより有効に活用するためにも、利用目的を明確にし、また明言し、個人の理解を
得られた範囲で利用すればよいのです。

2

次回は「個人情報取得における委託契約」について記載したいと思います。

2015.10.16

「個人情報保護法⑥」

1

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人データと保有個人データとは」について記載しました。
今回は「保有個人データに対する法律」について記載します。

 保有個人データについては、個人情報取扱事業者が、開示・内容の訂正・追加または削除、
利用の停止、消去および第三者への提供の停止のすべてを行える権限を有しますが、
経済産業省のガイドラインでは、上記例外以外にも「受託して処理しているものは除く」としています。
第三者が収集した個人情報を、業務委託され処理するために保有しているものは、
保有個人データとは見なしませんので、情報主体に対し、開示・訂正などをすることはできません。

 保有個人データについては、開示などを行うことができる権利があるのと同時に、
法第二十四条から第三十条において、さまざまな義務が規定されています。

 第二十四条(保有個人データに関する事項の公表等)
 第二十五条(開示)
 第二十六条(訂正等)
 第二十七条(利用停止等)
 第二十八条(理由の説明)
 第二十九条(開示等の求めに応じる手続)
 第三十条(手数料)

 ・以下の事項を本人の知り得る状態に置かなければならない。
  1.個人情報取扱事業者の氏名または名称
  2.利用目的
  3.開示などの手続きの方法と、それに伴う手数料
 ・本人から開示請求があった場合、遅延なく開示しなければならない。
 ・本人から訂正要求があった場合、誤りがあった場合には応じなければならない。
 ・本人から利用目的外の利用や同意のない第三者提供について利用停止を求められた場合、
  応じなければならない。

「本人の知り得る状態」とは、経済産業省のガイドラインで以下のように解説しています。
 ウェブ画面への掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、
 本人が知ろうとすれば、知ることができる状態に置くことをいい、
 常にその時点での正確な内容を本人の知り得る状態に置かなければならない。

 個人情報を収集する場面などで、本人が目にすることができる状態にあるか、
または問い合わせがあった際にきちんと回答できればよいということです。

 利用目的については、すべての個人情報を取得する際に、通知または公表しなければならないとされています。
そして、保有個人データについてのみ、開示などの請求に応じる義務があるとしています。
開示などの請求に応じるためには、保有個人データを整理し、検索する仕組みづくりをしておく必要があります。
以下の項目などを事前に決定しておくといいでしょう。

 ・開示などの請求に際し、どのように本人確認をするのか?
 ・帳票などを用意するのか?
 ・社内手続きはどうするのか?

 また、手数料の徴収について、法で以下のように認めています。
 第三十条 (手数料)
  1 個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は
    第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関し、
    手数料を徴収することができる。
  2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、
    実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければなら
    ない。

 利用目的の通知と開示について手数料を徴収することができます。
これについては、顧客サービスの一部としてすべて無料の決定をしている企業もありますし、
電話や電子メールの場合は無料、郵送の場合は有料という企業もあります。

 特に郵送の場合は、切手代などの実費が掛かることが明確であり、
社内手続きを考慮すると人件費そのほかも当然掛かっているわけですが、
価格については各企業の判断に任されています。
ちなみに、有料の場合300?1000円前後のところが多いようです。
なお、手数料を設定した場合は、必ず開示手続きの方法とともに本人の知り得る状態にしておく必要があります。

 この保有個人データについての規定を見ても、個人情報保護法とは
「本人が自己の個人情報がどのように扱われるのかを知り、コントロールする権利を持つ」という法律であるといえます。

2

次回は「個人情報取得時における利用目的」について記載したいと思います。

2015.03.10

「個人情報保護法⑤」


本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報データベース等とは」について記載しました。
今回は「個人データと保有個人データとは」について記載します。

2_2

個人情報保護法では、個人データと保有個人データという言葉を使い分けており、
特に保有個人データについては法律による縛りが多くなります。
何が個人データで、何が保有個人データとなるのかをよく理解することで、
「やらなければならないこと」を整理できます。

1.個人データ
 法では、以下のように個人データを定義しています。
 第二条 第4項
  この法律において「個人データ」とは個人情報データベース等を構成する個人情報をいう。

 経済産業省のガイドラインでは、個人データに該当する事例として、以下の2つを挙げています。
  事例1) 個人情報データベース等から他の媒体に格納したバックアップ用の個人情報
  事例2) コンピュータ処理による個人情報データベース等から出力された帳票等に印字された個人情報

 元になる個人情報データベース等そのもの以外にも、
 コピーや印刷物に含まれる個人情報も個人データであるとしています。
 要するに、個人情報データベース等のコピーや印刷物も同様に管理をしなければならないと
 いうことになり、不要なコピーを持つことは管理する対象(個人データ)を増やすことになるのです。
 本当に必要なコピーなのか、印刷すべきものなのか、業務の手順を見直し、
 個人データとして管理する対象を減らすことが重要です。

2.保有個人データ
 法では、以下のように保有個人データを定義しています。
 第二条 第5項
  この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、
  利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、
  その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は
  一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

 保有個人データとは、個人データから例外を除いたものであるということになります。
 では、どのようなものを例外としているのでしょうか。

 経済産業省のガイドラインでは、保有個人データについて、以下のように例外について解説しています。
 (1) その存否が明らかになることにより、公益その他の利益が害されるもの。
 (2) 6か月以内に消去する(更新することは除く。)こととなるもの。

 6カ月という期間は政令で定められており、6カ月以内に消去するような一時的な個人データについては、
 保有個人データとして扱う必要はないということになります。
 まずは、6カ月を超えて保有し続ける必要のある個人情報であるかどうかが、
 保有個人データとして取り扱うかどうかのボーダーになるのです。
 保有個人データについては、法第二十四条から三十条でさまざまな「やらなければならないこと」が
 規定されています。

 では、例外(1)「その存否が明らかになることにより、公益その他の利益が害されるもの」は
 何を指すのでしょうか。経済産業省のガイドラインでは、以下のような例を挙げています。
 ここに挙げられているような例外とされる個人データは、保有個人データとはしないということになります。

 例えば、事業者の方が気になさっているものに、いわゆる「クレーマーリスト」があると思います。
 これは、上記例外の悪質なクレーマーなどの個人データに当たりますので、
 保有個人データとしての義務を負う必要はないということです。
 ただし、クレーマーリストであることが分かる状態で、個人情報が漏えいするようなことがあると
 大変ですので、厳重な管理が必要となることはいうまでもありません。

1_2

次回は「保有個人データに対する法律」について記載したいと思います。

2014.08.04

「個人情報保護法④」


本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報取扱事業者とは」について記載しました。
今回は「個人情報データベース等とは」について記載します。

2_2

個人情報データベース等を事業の用に供している者だけが対象となります。
 第二条 第3項
  この法律において「個人情報取扱事業者」とは、
  個人情報データベース等を事業の用に供している者をいう。(以下省略)

法では、以下のように個人情報データベース等を定義しています。
 第二条 第2項
  この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、
  次に揚げるものをいう。
  一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
  二 前号に揚げるもののほか、特定の個人情報を容易に検索することができるように体系的に
    構成したものとして政令で定めるもの

ここでのキーワードは2つです。
 1.「電子計算機を用いて検索することができるように体系的に構成したもの」
 2.「容易に検索することができるように体系的に構成したもの」

法で「政令で定めるもの」としている「個人情報の保護に関する法律施行令」(以下、政令)
では、次のような定義をしています。
 第一条
  法第2条第2項第2号の政令で定めるものは、これに含まれる個人情報を一定の規則に従って
  整理することにより特定の個人情報を容易に検索することができるように体系的に構成した
情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

電子計算機=コンピュータで個人情報が管理される場合、多くの場合データベースのような形に
なっています。
「体系的に構成したもの」とは、このデータベースのようなものを指しています。
コンピュータの処理能力を持ってすれば、何万件、何千万件といった個人情報の中から、
1人の個人情報を探し出すことは容易である、といえます。
また、コンピュータを用いなくても、紙の情報も「検索できるよう体系的に構成」されていれば、
個人情報データベース等に当たります。例えば、五十音順や、年月日などで整理されており、
目次や索引があり、容易に検索できる形であれば、個人情報データベース等になるということです。

経済産業省のガイドラインでは、個人情報データベース等に該当する事例として以下のようなもの
を挙げています。
 事例1) 電子メールソフトに保管されているメールアドレス帳
     (メールアドレスと氏名を組み合わせた情報を入力している場合)
 事例2) ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル
     (ユーザーIDを個人情報と関連付けて管理している場合)
 事例3) 従業員が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を
     用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合
 事例4) 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを
     付してファイルしている場合
 事例5) 氏名、住所、企業別に分類整理されている市販の人名録

特に、日常の業務の中で蓄積されていく個人情報に「名刺」があります。名刺は、個人の氏名が
載っていますので個人情報となりますが、保管の仕方によって、個人情報データベース等に当たる
ことになります。
コンピュータに入力しないまでも、部内などで名刺を取りまとめてファイリングし、
簡単に検索できるようになっていれば、個人情報データベース等となります。

これら個人情報データベース等に含まれる特定の個人の数が、5000人を超えることが、
個人情報取扱事業者となる条件となります。顧客情報だけでなく、社員・取引先情報も含みますので、
よほどの小規模事業者でない限り、個人情報取扱事業者となることがご理解いただけると思います。

また、個人情報データベース等に関してよく議論されるものに、電話帳やカーナビゲーション
システムがあります。
これらも大量の個人情報が含まれるデータベースであることには間違いありません。
ただし、これらの情報が配布された(または購入した)もので、加工・追加などすることなく、
そのまま利用する限りにおいては「特定の個人の数」には含まれず、法第十九条から二十三条まで
の義務は適用されないとしています。

ただし、電話帳やカーナビゲーション内の個人情報を取り出すなどして、ほかのデータベースを
作ったり、新たに個人情報を追加したりする場合は、個人情報データベース等に当たりますので
注意しましょう。
 第十九条 (データ内容の正確性の確保)
  個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ
  最新の内容に保つよう努めなければならない。
 第二十条 (安全管理措置)
  個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の
  個人データの安全管理のために必要かつ適切な措置を講じなければならない。
 第二十一条 (従業者の監督)
  個人情報取扱事業者は、従業者に個人情報を取り扱わせるに当たっては、当該個人データの
  安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
 第二十二条 (委託先の監督)
  個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを
  委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な
  監督を行わなければならない。
 第二十三条 (第三者提供の制限)
  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、
  個人データを第三者に提供してはならない。

  一 法令に基づく場合
  二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ること
    が困難であるとき。
  三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、
    本人の同意を得ることが困難であるとき。
  四 国の機関若しくは地公共団体又はその委託を受けた者が法令の定める事務を遂行すること
    に対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行
    に支障を及ぼすおそれがあるとき。(第2項以下、省略)

1_2

次回は「個人データと保有個人データとは」について記載したいと思います。

2013.12.09

「個人情報保護法③」


本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報とは」について記載しました。
今回は「個人情報取扱事業者とは」について記載します。

Photo_4

個人のいろいろな情報が「守られる個人情報」である、ということは理解いただけましたね。
では、守るのは誰か、ということも知っておきましょう。

個人情報保護法では、この法律の対象となるのは法で定義するところの「個人情報取扱事業者」
であることを条件としています。
皆さんの企業が、個人情報取扱事業者に該当するかどうか、ということを判断しなくてはなりません。


法第二条第3項

 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。

 ただし、次に掲げる者を除く。

  一 国の機関
  二 地方公共団体
  三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
  四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
  五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

 「事業の用に供しているもの」
 個人情報保護法では、「『個人情報』を『事業の用に供している者』」をこの法律の対象としています。
 「事業」について、経済産業省のガイドラインでは、以下のように解説しています。

 「事業の用に供している」の「事業」とは、一定の目的を持って反復継続して遂行される
 同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営業事業のみを
 対象とするものではない。
 法人格のない、権利能力のない社団(任意団体)又は個人であっても個人情報取扱事業者に該当し得る。

 例えば家庭内での年賀状印刷用の情報や学校のクラブ活動の名簿などは「社会通念上事業と
 認められない」と考えられますので、「事業」には当たらず、個人情報保護法適用外となります。
 とはいえ、個人が持っているものであっても個人情報であることに違いはないので、
 各個人が自宅にある個人情報の取り扱いについても意識を高めることが求められています。

 「取り扱う個人情報の量」
 法令では、第二条第3項の例外として、その取り扱う個人情報の量及び利用方法からみて
 個人の権利利益を害するおそれが少ないものとして政令で定める者とうたっています。
 「取り扱う個人情報の量」が少なければ、「個人情報取扱事業者」とはしない、ということです。
 経済産業省のガイドラインでは、この「取り扱う個人情報の量」について、以下のように解説しています。

 過去6ヶ月以内のいずれの日においても5000人を超えない者
 5000人の個人情報とは、同一人物の重複分は除くものとする。


企業が個人情報取扱事業者であるかは、現在持っている個人情報を整理し、
過去6カ月以内に5000人を超える日があるかを知ることからスタートします。
そして、これからもそれらの個人情報を保有する必要があるのか、ということを検討し、
場合によっては個人情報を廃棄することで、個人情報取扱事業者ではなくなる可能性もあるのです。
個人情報保護法により、個人情報取扱事業者に義務が課せられることになります。

Photo_5

次回は「個人・保有個人データとは」について記載したいと思います。

2013.05.13

「個人情報保護法②」


本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報保護法とは何か」について記載しました。
今回は「個人情報とは」について記載します。

Photo

個人情報保護法では、以下のように「個人情報」を定義しています。
 (定義)
 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、
     当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を
     識別することができるもの(他の情報と容易に照合することができ、
     それにより特定の個人を識別することができることとなるものを含む。)をいう。

キーワードは3つです。
1.「生存する個人に関する情報」
2.「特定の個人を識別することができるもの」
3.「他の情報と容易に照合することができるもの」

1.「生存する個人に関する情報」
  「生存していない個人の情報は除く」と解釈できるのですが、注意したい部分です。
  「現在生存している個人(本人)の個人情報」というよりも、「現在生存している個人
  とのかかわりを持っている個人情報」と解釈しておきましょう。

  経済産業省のガイドラインには、以下のような解説があります。
   死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合は、
   当該生存する個人に関する情報となる。

  すでに死亡している方の個人情報であっても、現在生存している親族などに
  関係する場合は、法でいうところの「個人情報」として取り扱うことが求められています。

  また、「生存する個人」について、法人そのほかの団体はそもそも「個人」に
  該当しませんが、役員・従業員などに関する情報は個人情報であるとしています。
  個人情報=お客さま情報ではなく、従業員情報も含むことを覚えておきましょう。

2.「特定の個人を識別することができるもの」
  これは「個人を特定できる何らかの情報」です。基本は「名前」です。
  「名前」があれば個人情報となります。
  それ以外の情報で私たちが一般に個人を特定するために使っている情報には、
  「住所」「電話番号」「メールアドレス」などがあります
  ただし、メールアドレスの場合、「個人名@会社名.co.jp」のようなスタイルであれば
  個人を特定できますが、「12345@フリーメール.com」のように記号や数字で表される
  場合はメールアドレス単独で個人を特定することは困難です。
  この場合、個人情報とは分類しないでよいでしょう。
  それ以外には、「個人が自身を表す情報として認識しているもの」が個人情報になります。
  簡単に分類しながら例を挙げておきます。

  会社関連:勤務先(会社名・会社住所・会社電話番号・所属・メールアドレスなど)
       評価情報・所得
  基本情報:氏名・住所・電話番号・年齢・性別・職歴・学歴
  出生情報:生年月日・本籍・血液型・家族構成
  記号情報:パスポート番号・免許証番号・クレジットカード番号
  特性情報:趣味趣向・宗教・病歴・犯罪歴・結婚/離婚歴・人種・国籍・身長・体重
       スリーサイズ

  これ以外にも、経済産業省のガイドラインでは
  ・防犯カメラに記録された情報等本人が識別できる映像情報
  ・特定個人を識別できる情報が記述されていなくても、
   周知の情報と補って認識することにより特定の個人を識別できる情報
  という事例を挙げています。

  映像・音声・筆跡なども、その個人を特定できる材料である限り、個人情報となります。
  ちなみに、アンケートにより収集した情報であっても、名前などを削除した
  統計情報にしてしまえば個人情報として扱う必要はありません
  (もちろん、収集したアンケートそのものは個人情報になりますので、
  保有したくなければきちんと廃棄しましょう!)。

  ●センシティブ(機微)情報
  個人情報保護法では、これらの個人情報に対し重要度などをうたっていません。
  世界的には「センシティブ(機微)情報」といわれる部類の個人情報について、
  より厳重に扱われることが求められています。
  センシティブかどうかの判断は、その個人によりかなり「秘密にしたい度」が
  異なりますが、一般的には上記特性情報に挙げたような情報をセンシティブ情報と
  分類します。
  「JIS Q 15001個人情報保護に関するコンプラアンス・プログラムの要求事項」においては、
  センシティブ情報の収集を原則禁止しています。企業活動に必要不可欠な場合以外は
  収集しないようにしましょう。

    4.4.2.3 特定の機微な個人情報の収集の禁止
    次に示す内容を含む個人情報の収集、利用叉は提供は行ってはならない。
    ただし、これらの収集、利用叉は提供について、明示的な情報主体の同意、
    法令に特別の規定がある場合、び司法手続上必要不可欠である場合は、
    この限りでは無い。
    a)思想、信条及び宗教に関する事項。
    b)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、
     身体、精神障害、犯罪歴、その他社会的差別の原因となる事項。
    c)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。
    d)集団示威行為への参加、請願権の行使、及びその他の政治的権利の
     行使に関する事項。
    e)保健医療及び性生活。

3.「他の情報と容易に照合することができるもの」
  上記のような個人情報も、単に「身長・体重」だけを見ても「誰の?」ということが
  特定できなければ、「個人情報」にはなりません。
  「他の情報と容易に照合することができるもの」とは、「名前」など明確に個人を
  特定できる情報と、「身長・体重」などの情報が、同一社内などにある状態をいいます。
  それぞれの情報が他社にある場合は、「容易に照合」とは解釈しないとされています。

Photo_2

次回は「個人情報取扱事業者とは」について記載したいと思います。

2012.11.30

「個人情報保護法①」


本日、ブログを担当するシステム開発部の鈴木です。

個人情報保護法が全面施行されてから7年が経過し、
事業者における個人情報保護への取り組みも進んできています。
しかしながら、依然として個人情報に関する事故やトラブルが発生し、
個人情報の取扱いに戸惑いがあるかと思います。
今回は個人情報保護法とは何かについて記載します。

Photo

個人情報保護法とは
 (目的)
  第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が
      著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、
      基本理念及び政府による基本方針の作成その他の個人情報の保護に
      関する施策の基本となる事項を定め、国及び地方公共団体の責務等を
      明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を
      定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を
      保護することを目的とする。

 高度情報通信社会とあるように、情報が電算化されたために大量流出する
 事件・事故が非常に多くなってきています。
 インターネットの普及により、流出する個人情報の量と流出する範囲が格段に
 大きくなったことは、この問題をより深刻にしています。
 個人情報保護法により企業の個人情報に対する管理体制構築が促進され、
 相次ぐ個人情報の流出をストップすることが期待されています。

 個人情報保護法を理解するにあたり、基本理念について再確認しておきましょう。
 経済産業省のガイドラインでも「公益上必要な活動や正当な事業活動までも
 制限するものではない」といっているように、企業が個人情報を使うことを
 何から何まで制限するものではなく、
 「個人情報を正しく扱いましょう」ということが基本理念なのです。
 つまり、法をよく理解して、個人情報の正しい扱い方を企業内で
 取り決めることが必要なのです。

 また、参照したいキーワードに、日本工業規格(JIS)が定めた
 「個人情報保護に関するコンプライアンス・プログラムの要求事項
 (JIS Q 15001)」があります。

 JIS Q 15001では、事業者が保有する個人情報を保護するための方針、組織、計画、
 実施、監査および見直しというマネジメントシステムを構築するための要求事項を
 記しています。JIS Q 15001の要求事項は、個人情報保護法よりも
 厳しいとされており、より高いレベルの仕組みづくりに利用されています。

Photo_2


次回は「個人データ」とは?について記載したいと思います。

2012.01.23

『コンピューターウィルスの脅威』


Kansenkeiro

●コンピューターウイルスやサイバー攻撃に備えて

 コンピューターウイルスの話題は毎日のようにニュースに流れている昨今、
 コンピューターウイルスの話題では先月末には厚生労働省の情報システムサーバーが
 コンピューターウイルス対策ソフトを装ったコンピューターウイルスに感染していた
 とやっていましたね。
 コンピューターウイルスの対象は労働基準監督署などの1万台だそうですが、
 インターネットへの接続を停止していたようですが、業務には支障なかったのでしょうか。。。。
 現在はすでに復旧しているようですが、コンピューターウイルス対策ソフトを装った
 コンピューターウイルスって・・・びっくりですね。。。

 そんな中、東京海上日動火災保険はIT事業者むけに情報が漏れてしまったときの
 損害賠償の保障をしてくれるサイバーリスク保険を発売したようです。
 企業や官公庁がサーバー攻撃を受けるという事態が相次いで起こっていますので、
 みなさんも情報漏えいに関しては敏感になっているところでしょう。
 今年に入ってから三菱重工などの防衛に関連している企業や衆参両院のサーバーも攻撃を
 受けていますが、企業もしっかりと考えていかなくてはいけませんね。

 東京海上は10年以上前からIT企業にむけたコンピューターウイルスにかかってしまった
 場合のデータの復旧費用は売上を補償する保険を取り扱っていたようですが、
 サイバー攻撃に対するリスク保障が増えたということです。

 コンピューターウイルスやサイバー攻撃は他人事ではありません。
 きちんと企業として考えていかなくてはいけませんね。

●コンピューターウイルスに感染しない為には・・・

 パソコンがウイルス感染をしてしまうと、パソコン内に入っているデーターを
 破壊するなどの恐れがあります。
 また、パソコンの中に入っている大切な情報を取り出されてしまう事も考えられます。
 さらにパソコンが起動しなくなったなどの情報も届いています。

 この悪質なウイルスというのは、インターネット上からファイルをダウンロードした時や
 ホームページを閲覧した時などにウイルスが潜んでいて気付かないうちにウイルス感染を
 してしまう事が多いのです。
 メールなどにもウイルスが添付されている事もあるので、十分に注意をする必要があります。

 ウイルスにパソコンが感染をしてしまうと、大切にハードディスクに保存してるデーターを
 壊してしまったりパソコンのシステムそのものが不安定となってしまう事も考えられるでしょう。

 こういったデーターの破損や大切な情報が漏れる事を防ぐためには、パソコンをウイルスから
 守らなくてはいけません。
 そのためには、ウイルス対策は重要なのです。
 ウイルス対策として、ウイルス対策ソフトがありますがただ入れておけば良いのでは無く
 常に最新版にしておかなければなりません。
 ウイルス対策ソフトの更新を忘れないようにしてくださいね。
 最新のウイルス対策ソフトを導入した上で、知らない人から届いたメールを開かない、
 知らないホームページからダウンロードはしない。
 上記のような点に気をつける事がパソコンをウイルスから守るためには大切な事なのでは
 ないでしょうか?

●コンピューターウイルスに感染したときの対処法

 コンピューターウイルスには日頃から注意しているつもりでいても、
 いつの間にか感染してしまうのがコンピューターウイルスです。

 セキュリティソフトを導入して更新も怠っていないという場合にはほとんど
 コンピューターウイルスに感染することはないと思いますが、絶対ではありません。
 例えば、いつも同じサイトにしかアクセスしないという方と日頃からネットチェック
 を繰り返して、少々危ないサイトでも平気で行ってしまうという人では
 コンピューターウイルスに感染する確率は大きく違ってきます。

 そんなコンピューターウイルスですが、万が一感染してしまったことがわかった場合の
 対処法についてご紹介しましょう。

 [コンピューターウイルスの対処法]
 最も確実な方法は、インターネット回線を抜いてOS(オペレーションシステム)の
 リカバリをするのが一番望ましいです。
 しかし、コンピューターウイルスに感染しているかどうかが疑わしい場合は
 逆に厄介なことになります。

 コンピューターウイルスに感染しているかどうか疑わしい場合、以下に掲げる様々な症状が
 見られることがあります。

 ◆画面に突然覚えのない請求画面が出る
 ◆アイコンをクリックしたのにプログラムが立ち上がらない
 ◆急に迷惑メールが増えたような気がする
 ◆ウェブブラウザのブックマークに、覚えのないリンクが追加されている
 ◆広告のポップアップウインドウが、消しても消しても表示される
 ◆ウェブブラウザのホームページが、いつの間にか変更されている
 ◆タスクトレイに見知らぬアイコンがいる

 こうした症状が見られたら、コンピューターウイルスに感染していることを疑ってみましょう。

●スマートフォン対策

 スマートフォンを持つ方がとても増えていますね。
 iPhoneが流行、そして今はアンドロイドを使用する方が増えてきました。
 ただ、アンドロイドのスマートフォンの方はウイルス感染の危険がiPhoneよりも
 高いと言われています。
 その理由はiPhoneと違ってアンドロイドのアプリを配布できるということがあるからです。
 iPhoneのアプリでは今までコンピューターウイルスは発見されていません。
 しかしアンドロイドマーケットにはコンピューターウイルスが発見されています。
 スマートフォンを持つということは、パソコンを持ち歩いているのと同じことになります。
 コンピューターウイルスに感染するとメールや位置情報などいろんな個人情報が流出する
 危険がありますので、他の誰かに自分のスマートフォンが乗っ取られてしまうということにも
 なりかねません。
 安心してスマートフォンを利用していくためにもコンピューターウイルスの対策を
 十分にしておかなくてはいけませんね。

 まず、安全にスマートフォンを使用していくためには、最低限のルールを覚えておきましょう。
 まず、スマートフォンのアップデートを忘れずにすることが大切です。
 アプリは必ず信頼できる場所からインストールすること。
 アンドロイドのアプリをインストールする前には必ずアクセス許可を確認すること。
 小さなパソコンと考えて、必ずセキュリティソフトをインストールすること。
 これらが最低限のルールとマナーかと思います。


次回ブログ更新予定は、1月27日です。