USBメモリ紛失事案を受けた個人データの適正な取扱いについて

今般、地方公共団体から委託を受けた事業者等において、個人データが含まれたUSBメモリを紛失する事案が発生しています。個人情報取扱事業者が個人データを取り扱う場合には、個人情報の保護に関する法律（平成15年法律第57号）に則り、個人情報を適正に取り扱っていただく必要があるため、改めて周知するものです。


(１)安全管理措置について（法第23条）
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
個人データをUSBメモリ等電子媒体において取り扱う場合は、盗難又は紛失等を防止するために、施錠できるキャビネット又は書庫等の定められた場所で適切な管理を行わなければなりません。
また、個人データをUSBメモリ等電子媒体において持ち運ぶ場合も、業務上必要な場所に限るなど適切な管理を行うとともに、容易に個人データが判明しないよう、暗号化、パスワードによる保護等を行った上で保存する、施錠できる搬送容器を利用するなどの安全な方策を講じなければならないことに留意をした上で、慎重に取り扱ってください。
安全管理措置を定めた社内規程等に従った運用の状況を確認できるよう、電子媒体の持ち運びの状況等を記録することも重要です（個人情報保護法ガイドライン（通則編）10-3、10-5）。

【参考：個人情報保護法ガイドライン（通則編）】

10-3　組織的安全管理措置
個人情報取扱事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。

（1）組織体制の整備
　安全管理措置を講ずるための組織体制を整備しなければならない。
（2）個人データの取扱いに係る規律に従った運用
　あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱わなければならない。
　なお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録することも重要である。
（3）個人データの取扱状況を確認する手段の整備
　個人データの取扱状況を確認するための手段を整備しなければならない。
（4）漏えい等事案に対応する体制の整備
　漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
　なお、漏えい等事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である（※）。
　（※）個人情報取扱事業者において、漏えい等事案が発生した場合等の対応の詳細については、3-5（個人データの漏えい等の報告等）を参照のこと。
（5）取扱状況の把握及び安全管理措置の見直し
　個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。

10-5　物理的安全管理措置
個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。

（1）個人データを取り扱う区域の管理
　個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域（以下「管理区域」という。）及びその他の個人データを取り扱う事務を実施する区域（以下「取扱区域」という。）について、それぞれ適切な管理を行わなければならない。
（2）機器及び電子媒体等の盗難等の防止
　個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
（3）電子媒体等を持ち運ぶ場合の漏えい等の防止
　個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければならない。
　なお、「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要がある。
（4）個人データの削除及び機器、電子媒体等の廃棄
　個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。
　また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。



(２)従業者の監督について（法第24条）
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、上記安全管理措置を定めた社内規程等に従って業務を行っていることを確認するなど当該従業者に対する必要かつ適切な監督を行わなければなりません（個人情報保護法ガイドライン（通則編）3-4-3）。

【参考：個人情報保護法ガイドライン（通則編）】

3-4-3従業者の監督（法第24条関係）
法第24条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たって、法第23条に基づく安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい。

「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。

【従業者に対して必要かつ適切な監督を行っていない事例】

事例1）従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
事例2）内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合


(３)委託先の監督について（法第25条）
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません。具体的には、個人情報取扱事業者は、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行わなければなりません。

また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して法第25条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましいです。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様です（個人情報保護法ガイドライン（通則編）
3-4-4）。

【参考：個人情報保護法ガイドライン（通則編）】

3-4-4委託先の監督（法第25条関係）
法第25条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託（※1）する場合は、委託を受けた者（以下「委託先」という。）において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。
具体的には、個人情報取扱事業者は、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする（※2）。

その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、次の（1）から（3）までに掲げる必要かつ適切な措置を講じなければならない（※3）。

（1）適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10（（別添）講ずべき安全管理措置の内容）」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。

（2）委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。

（3）委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい（※4）。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。

【委託を受けた者に対して必要かつ適切な監督を行っていない事例】

事例1）個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合

事例2）個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合

事例3）再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合

事例4）契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合

（※1）「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定される。
（※2）委託元が法第23条が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、法第23条が求める水準の安全管理措置を講じれば足りると解される。
（※3）委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法（口頭による確認を含む。）により確認することが考えられる。
（※4）委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。


☆個人情報保護法ガイドライン（通則編）については、以下を参照ください。
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku