基本編_個人情報管理の重要性（本編）

一般財団法人日本情報経済社会推進協会

プライバシーマーク推進センター

個人情報管理の重要性

目次

１．個人情報の管理はなぜ必要？



はじめに



個人情報の取扱いに関する事故の傾向



個人情報の取扱いに関する事故の影響



個人情報を適切に取り扱うために

２．当社の個人情報取扱いルールについて



個人情報保護方針



個人情報保護の体制



個人情報保護に関する規程



緊急事態への対応

３．まとめ

1. 個人情報の管理はなぜ

必要？



はじめに

はじめに



個人情報の管理はなぜ必要なのでしょうか？

個人情報の漏えい等の事故は大きな社会問題に！

したがって・・・

自社事業の継続・発展、社会的な信頼の獲得

お客様に安心・信頼して

取引を続けていただく

個人情報を有効に活用

して事業の拡大に活かす

頻発する個人情報の漏えい等の事故



巧妙化、高度化するサイバー攻撃



ヒューマンエラーによる事故



データの誤入力、誤操作



置き忘れ、盗難による紛失など



内部（関係者）による不正行為



委託先からの漏えい等

など

100%防ぐのは

難しい・・・

どの企業にも起こ

りうる・・・

緊急事態が発生

したらどうしよう



個人情報の取扱いに関する事故の

傾向



JIPDEC公表の統計資料

平成29年度「個人情報の取扱いにおける事

平成29年度の事故報告概要



事故の原因は「メール誤送信」（26.5%）が

最も多く、次いで「紛失」（19.1%）の順。

前年度に比べメール誤送信の割合が増えている。



事故の原因のうち、「内部不正行為」、「事

務処理・作業ミス」の件数が昨年度と比較し

2倍に増加。



インターネットを介した漏えい事故も少なか

らず報告があった。

例.公開対象ではない個人情報が外部から閲覧できる

個人情報の取扱いに関する事故の傾向（１）



原因別事故報告の状況

20.7%

26.5%

20.0%

19.1%

13.9%

15.1%

13.4%

13.7%

14.8%

12.5%

10.4%

7.8%

6.7%

5.2%

平成28年度

平成29年度

⑦その他誤送付

⑥その他

⑤宛名間違い等

④封入ミス

③その他漏えい等

②紛失

①メール誤送信

（2,044件）

（2,399件）

メール誤送信の

割合が最も多い

⑦

⑥

⑤

④

③

②

①

個人情報の取扱いに関する事故の傾向（２）



原因別事故報告の状況における「③その他漏えい等」の内訳(件数)



原因別事故報告の状況における「⑥その他」の内訳(件数）

内容

プログラム

/システム

設計・作業

ミス

システムの

バグ

口頭での

漏えい

事務処理・

作業ミス

関係者の

ミスによる

漏えい

ウィルス

感染

合計

89

8

57

27

64

36

4

285

80

3

48

35

150

41

6

363

内容

不正

_取得

目的外

_利用

_ない提供

同意の

内部不正

_行為

誤廃棄

消失・

_破壊

評価

対象外

置引き

等・車上

荒し

合計

平成28年度

3

23

6

7

27

6

66

29

46

213

平成29年度

2

18

8

15

30

9

13

58

35

188

2倍強に

増加

メール誤送信の事故事例と防止策例



事故のパターンと事例



防止策例

• アドレス帳から同姓の別人の

メールアドレスを選択した

• メーラーのオートコンプリー

ト機能により別人のメールア

ドレスを設定した

• コピー＆ペーストでのミス

•A社に送信する際、B社用

のファイルを添付した

•添付したファイルの内容

に他社分の個人情報も含

まれていた

•本来BCC送信すべきとこ

ろをTOやCCで送信した

メール送信前の確認の徹底

•メールアドレス、内容、

添付ファイルの確認

•確認のルール化、マニュ

アル化、ルールの教育

など

メーラーの設定変更

•メーラーの設定を送信前

に宛先、メール内容が確

認できる設定に変更する

など

添付ファイルの暗号化

•ファイルの暗号化、パス

ワードロック等の秘匿化

など

インターネットを介した事故事例と防止策例



事故のパターンと事例



防止策例

作業ミス

• A社のデータを、誤ってB社の

オンラインストレージにアップ

ロードした

• Webサイト更新時、公開用

フォルダに一時的に移動した個

人情報が含まれるデータを削除

し忘れた

ID/パスワードの漏えい

• 会員Cに対し、会員D用のID/パ

スワードをメールで送信した

• E社にF社用の取引先ページの

ID/パスワードを送信した

設定ミス

• クラウド上での作業時、取引先

従業員情報の非公開設定を失念

した

• Webサイトのアクセス制限設

定を誤り、個人情報が掲載され

たページが閲覧できる状態と

なった

手順やルールの見直し

• 適切な業務運営やガバ

ナンス体制の構築、

• 作業実施ルール・

チェックルールの確認、

見直し

など

具体的な手順等の工夫

• 二重チェック体制の構

築

• 新たな手順の導入

など

注意喚起・教育

• 教育方法、実施時期、

内容の見直し

など

委託先の管理

• 定期的なモニタリング、

監査の実施

など

内部不正行為による事故事例と防止策例



事故のパターンと事例



防止策例



データ管理状況の見直し



端末や社内システムへの接続制限



退職者に係る取扱いルール見直し（秘密保持契約締結、迅速なID削

除等）



注意喚起・教育

従業者によるもの

•人事情報を他部署の従業

者が無断で持ち出した

•営業担当者が顧客になり

すまし、代金の払い戻し

を受けた

退職者によるもの

•元社員が顧客データを持

ち出し転職先での営業活

動に利用した

•元社員が顧客名簿を持ち

出し、他の事業者に転売

した

委託先によるもの

•委託先の従業者が自宅で

作業するため、個人デー

タを持ち出した

•委託先従業者が委託元の

社員名簿を持ち出し社員

に迷惑メールを送った

その他日常業務での事故事例と防止策例



事故のパターンと事例



防止策例



対応ルール・手順の確認・見直し



従業者への注意喚起・教育

口頭での漏えい

•電話での本人確認が不十分だったた

め、本人と誤認して別人に個人情報

を教えた

•誤って別人のログインID等を伝えた

盗難・紛失

•携帯電話、スマホの紛失が増加

Bさん？

Aさん？



個人情報の取扱いに関する事故の

個人情報の事故を起こしてしまうと・・・



お客様は・・・



もうこの会社を利用するのはやめよう。



信頼して預けたのに、悪用されたらどうしよう。



私の情報も漏えいしたかもしれない。心配・・・。



取引先は・・・



今後、継続的な取引は見直した方がいいだろうか？



取引への対応が遅れて困る。



自社は・・・



問合せが殺到、大変だ。



原因は何？影響は？何をすれば？



これまで築いてきた信頼は・・・。



苦情の対応に苦慮・・・。

信頼の損失

信頼の失墜

取引の

減少

信頼の

失墜

個人情報の取扱いに関する事故の影響

社会的な信用の失墜

•顧客や取引先の信用を

失う

•企業ブランドのイメー

ジダウン

経済的な損失

•再発防止策への投資

•本人への補償

•業務の停止（営業機会

の損失）

•信用回復のための投資

事業継続へのダメー

ジ

•株価の下落

•取引の減少

•経営状況の悪化

最悪の場合、

事業終了も・・・

個人情報の取扱いに関する事故の影響（事例）

個人情報漏えいインシデント：一人当たり平均損害賠償額

2万3,601円

事例１：ウイルス感染で数日間業務が停止し、数千万円の被害が発生

（所在地：東京都／業種：情報通信業／従業員規模：101 ～ 300 名）

社内のパソコンやサーバーがウイルスに感染し、数日間に亘った業務停止に至る障害が発生した。復旧の

ために徹夜で対応したが、その間の会社としての被害額は推計で数千万円に上る。

原因は、被害が発生するまで、セキュリティ対策ソフトを全く導入していなかったことである。

その後、ウイルス対策ソフトや技術的な対策の導入、情報セキュリティ規則の制定、プライバシーマーク

やISMS 認証取得に取り組み、再発防止に努めている。

事例２：顧客情報の入ったパソコンの紛失事故により取引先の信用を失墜

（所在地：東京都／業種：情報通信業／従業員規模：101 ～ 300 名）

従業員が顧客情報の入ったパソコンを持ち出した時に紛失事故が発生した。顧客に対して紛失の報告をし

たが信用を失うこととなった。原因は、会社として情報セキュリティに対する意識が高くなかったため、

持ち出しに関する明確なルールや手続きを定めておらず、従業員がパソコンを自由に持ち出せる環境であ

ったことである。その後、情報機器の暗号化などの対策を実施するとともに、パソコンの持ち出しルール

を含めた情報セキュリティ規程を整備して従業員へ情報セキュリティ教育を行った。

個人情報の取扱いに関する事故の影響(まとめ)

• 本人へのお詫びや補償以外にも、社会

的説明責任を果たすには様々な対応が

必要

非常に大きな

損失が発生

• 被害規模の拡大

• 漏えいした情報の回収が困難

• 一度失った信頼の回復が困難

影響の長期化

一瞬の事故が大きな問題に。

では、どうしたら・・・？



個人情報を適切に取り扱うために



個人情報取扱いルールの運用

ルールを定め、理解し守ること

事故を起こさない

（未然防止）

事故を起こさないための

体制・対策のルール化

定められたルールを

理解し、守る

事故が発生した場合の影響

を最小限に抑える

早期発見、緊急時対応の

ルール化

事故発覚・発見時に

ルールに従って行動する

従業者は

_従業者は

個人情報保護リスク対策の見直し



個人情報の取扱いのPDCAサイクル

ルールは適宜見直し、必要に応じて改善する

ことが重要です。

最新のリスク対策

の策定

ルールに従った

運用

リスク対策の見直し

ルールの見直し

運用状況の確認

、対策の有効性

のレビュー

継続的改善⇒保護水準向上

Plan

(計画)

Do

(実施)

Check

(点検)

Ａｃｔ

(

改善)

万が一事故を起こしてしまったら



重要なことは迅速な対応と再発防止の徹底

• 緊急時対応のルールに従い迅速

かつ適切な対応

迅速な対応

• 適正な改善策、再発防止策の策

定と実施を徹底

再発防止の徹底

早期の信頼回復

保護水準のさらなる向上

2. 当社の個人情報取扱い

ルールについて

個人情報保護の体制

緊急事態への対応

まとめ

（参考）プライバシーマーク制度における事故とは



「プライバシーマーク付与に関する規約」

（PMK500）

第5章第11条



“個人情報の外部への漏えいその他本人の権利利益の

侵害（以下「事故等」という）”



「プライバシーマーク制度における欠格事項及

び判断基準」（PMK510）



『4.個人情報の取扱いに関する事故についての判断基

準』で示す以下の事象

①漏えい

②紛失

③滅失・き損、

④改ざん、正確性の未確保 ⑤不正・不適正取得

⑥目的外利用・提供

⑦不正利用

⑧開示等の求め等の拒否 ⑨上記①～⑧のおそれ