地方公共団体における個人情報保護法に関する研修

市役所の職員の方に向けて、地方公共団体における個人情報の取扱いについて、個人情報保護法の解説を交えてお話をさせていただきました。

具体的な研修の内容は次のとおりです。

1. 個人情報の適切な取扱いの重要性
2. 個人情報保護法の概要
3. 行政機関等に適用される規律
4. 行政機関等が講ずべき安全管理措置等
5. 漏えい等が発生した場合の対応
6. 事例

研修を開催することになった背景と目的

地方公共団体では、行政サービスを提供するために多くの個人情報を取り扱っています。
高度な情報化社会の進展とそれに伴う個人情報保護の重要性の高まりを背景として、市役所職員の方が個人情報保護法の知識を習得し、個人情報保護の意識を向上させることを目的として研修が開催されました。

セミナーの内容

1. 個人情報の適切な取扱いの重要性

個人情報を適切に取り扱わないと様々な面でリスクが生じてきます。

具体的には①個人情報保護法との関係②その他法律との関係③社会との関係で問題となってきます。

個人情報保護法には、ルールに従わなかったときの罰則が定められています。
個人情報の取扱いを誤ってしまうと、最悪の場合は懲役や罰金などの刑事罰が課される可能性があります。

個人情報を漏洩してしまうと、その被害者から損害賠償請求（公務員であれば国家賠償請求）をされる可能性があります。
漏洩した個人情報が重要なもの（一般的に本人が他人に知られたくないと思う情報）であれば損害額が高額化する傾向にあります。

また、個人情報を不正に持ち出したりすると窃盗や業務上横領などの犯罪が成立する可能性があります。

その他にも、公務員は地方公務員法などで守秘義務が課されているので個人情報漏洩を起こしてしまうと守秘義務違反となってしまう可能性もあります。

個人情報漏洩事件が発生すると、社会的な信用が無くなってしまいます。
一般企業であれば一般消費者による不買運動が起きたり、行政機関であれば国民・住民が行政運営に非協力的になる可能性があります。
また、個人情報漏洩の原因を調査するための費用や問い合わせに対応するための人的なコストがかかってしまうという問題も発生します。

個人情報の取扱いを誤ると様々な側面から問題が発生するリスクがありますので、適切な取扱いを心がけていただく必要があります。

2. 個人情報保護法の概要

個人情報保護法は３年に一度内容の見直しを行うことになっています。
世界的には個人情報保護法の中で厳しいルールが定められていることもありますので、日本の個人情報保護法におけるルールもより厳しくなっていくことが予想されます。
そのため、今のうちに個人情報保護法の適切な理解をし、法改正にしっかりと付いていくことが必要です。

3. 行政機関等に適用される規律

個人情報保護法では、行政機関等が守るべき多くのルールが定められています。
特に重要な点として、以下の点を今回の研修ではお話しました。

① 個人情報取得・保有時の注意点
② 個人情報利用・提供時の注意点
③ 取得した個人情報の保管・管理に際する注意点
④ 本人から個人情報の開示請求等への対応
⑤ 通知・公表等に関するルール

個人情報保護委員会が行政機関等向けの個人情報保護法に関するガイドラインを公表していますので、詳細はこちらを参照していただくと良いです。

4. 行政機関等が講ずべき安全管理措置等

個人情報保護法では、個人情報を取り扱う企業・行政機関等において個人情報の安全管理措置等を講じなければならないとされています。

安全管理措置は、保有個人情報の漏えい等が生じた場合に本人が被る権利利益の侵害の大きさを考慮し、事務又は業務の規模及び性質、保有個人情報の取扱状況（取り扱う保有個人情報の性質及び量を含む。）、保有個人情報を記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならないとされています。

具体的にどのような安全管理措置を講じるべきかはケースバイケースとなります。
具体的な内容を検討するときは、個人情報保護委員会が公表しているガイドラインが参考になります。

5. 漏えい等が発生した場合の対応

以下のケースで個人情報が漏えい等したときは、個人情報保護委員会と本人に報告や通知をしなければなりません。

① 漏えい等した情報の中に要配慮個人情報が含まれる
※地方公共団体であれば条例要配慮個人情報に該当する情報も含みます。

② 不正に利用されることにより財産的被害が生じるおそれがある
具体的には、クレジットカード番号などが流出したような場合です。

③ 不正の目的をもって行われたおそれがある
具体的には、不正アクセス、持ち出し等が行われたような場合です。

④ 本人の数が1000人を超える
※地方公共団体であれば100人を超える場合となります。

個人情報保護委員会への報告は、事件発生を知ってから速やかに行う「速報」と原則３０日以内に行う「確報」を行う必要があります。

詳しい報告の方法などについては個人情報保護委員会が公開している資料が参考になります。

6. 事例

具体的な個人情報漏えいの事例を交えて対策等をお話させていただきました。