情報管理戦略構築・体制強化コンサルティング

System Enhancement

IT技術の普及による情報社会が到来し、企業における情報の取扱いは日々目まぐるしく進歩しています。それは利便性やコストの削減といった視点にとどまらず、事業の内容によってはビッグデータの活用、他企業との共同利用等、新たなサービスの展開の場面でも求められるものです。

他方で、情報を取り巻く法規制も、技術の進歩に伴ってアップデートされており、業態によっては法律を補足するガイドラインの類も公表されています。

情報ガバナンス・コンプライアンスが重視され、情報管理については契約上の義務に組み込まれることが当然の時代となっており、情報の漏洩といった管理の不手際は、契約上のペナルティや企業の信頼失墜といった大きなリスクに繋がります。そのため、適切な情報管理体制の実施は不可欠といえるでしょう。

本稿では、適切な情報管理・活用体制の構築において、どのような着眼点から考えていけばよいかを、弁護士の視点からご案内してまいります。

1 情報取得時におけるチェックの必要性

情報は、これを取得する段階で既に、どのような範囲で活用できるのかが制限されるケースがほとんどです。

たとえば、取引先から得た情報であれば、契約の目的に沿って使用することができるに過ぎないのが一般的です。想定している情報の活用方法が、契約目的に沿っているのか、条項や取引先に対する確認を入念にしておく必要があります。

また、個人情報であれば、取得時に利用目的を通知又は公表しなければなりません。サービスの提供にあたって契約書や、個人情報の取得時における同意書の取り付け、プライバシーポリシーの制定、オプト・アウト方式の整備など、事業の内容や想定している情報の活用方法によって、その定め方を工夫する必要があります。

2 情報管理の一元化

情報管理システムを構築するにあたっては、可能な限り情報の管理を統一しておくことが肝要です。

利便性の面からいえば、情報の格納場所・方法を一元化しておくことで、社内の情報を可視化し、その情報を必要とする社員が適時にアクセスできるようなシステムが望ましいといえるでしょう。コロナ禍の影響もあってリモートワークが急速に普及しており、社外からのアクセス環境についても併せて検討すべきです。また、後の述べるセキュリティ施策と重複しますが、情報管理に関するルールを制定し、社内で統一化を図る必要があります。

インフラ・システムの技術的な部分については割愛しますが、利便性を追求する過程で、セキュリティにも意識を割く必要がありますが、ここが統一されていると、情報の保存・活用・セキュリティにおける管理施策についても対応が一元化できますので、この観点は重要といえます。

3 情報利用時の注意点

取得・管理している情報を利用するに際しては、細心の注意が必要です。ここでは主に社外の第三者へ提供することを念頭にご説明します。

取引によって得た情報であっても、それが取引相手の秘密情報に該当する場合には、通常秘密保持義務を負っていると考えられます。第三者への開示はもちろん、目的外利用についても制限されているケースが多いと思われますので、情報に触れる従業員に対しては、どのような秘密保持義務を負っているかを都度周知させておくことが重要です。

また、個人情報については、取得時の利用目的に沿って利用しなければならないうえ、第三者提供には厳しい制限が課されています。取引に際して適法に入手した情報であっても、それが個人情報であれば別異にこの点を検討しなければなりません。

さらに、個人情報は何も社外から取得するものだけを気にすれば良いというわけではなく、従業員や委託先個人の情報も含まれますので、これをも含めた適切な利用が必要です。

第三者提供においては原則として都度、個人の同意を要しますが(オプト・イン方式)、単に情報管理をアウトソーシングする場合や、元々サービスの提供のために共同利用することを明示している場合など、一定の例外もあります。個人情報の種類によっては、予め包括的な同意を得ておくことで柔軟な第三者提供を実現するオプト・アウト方式も法整備が進んでいます。業種によっては情報の利用・第三者提供について特別法もありますし、さらに、情報を適切に匿名化した場合にはビッグデータとして活用することも許容されている等、特に個人情報を有効に活用するにあたっては種々の法規制を把握しておくことが重要になります。

4 適切な文書・電磁的記録の保存

取得した情報は自由に破棄できるわけではありません。

取引や帳簿に関連する情報の多くは、会社法や法人税法を中心に、各文書ごとに企業における保存義務が定められています。また、従業員に関する情報は、労働基準法や健康保険法上、保存義務が定められているものもあります。

そのため、各情報が掲載された文書・電磁的記録、各保存義務の範囲毎に整理して管理する必要があるといえます。

なお、これらの情報は法定の保存期間に応じて順次破棄していくことになりますが、なかには保存期間が経過していても引き続き保存を検討すべき場合もあります。たとえばトラブルの発生やその対応についての記録はその集積自体が財産ですから、事業の内容によっては、その保存が推奨される等です。

5 セキュリティ・安全管理措置構築の視点

経営者の方々も、特に個人情報について、大規模な漏洩事件が報道されているのを目にされることがあるでしょう。このような情報漏洩は一度生じてしまうと、企業の信頼は大きく失墜し、イメージの低下どころか、取引先・顧客を失いかねません。対応にも多くのリソースを割かれることになるでしょう。

事業内容や人員の規模に応じて可能な対応には限界もあるでしょうが、以下では、どのような観点からセキュリティを構築していくべきかについて、経済産業省が公表している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」から、4つの「安全管理措置」についての視点をご紹介いたします。

(1)組織的安全管理措置

まずは企業全体としての取り組みです。情報の管理方法についての細かなルール、情報管理を統括する責任者や、セキュリティリスクや情報漏洩等の問題が生じた際の対応マニュアルを定めておくといったこと考えられます。

(2)人的安全管理措置

次に従業員や業務委託先など、情報に触れる人に対する取り組みです。

優れた情報管理システムを構築しても、その情報に触れる人そのものにセキュリティ意識が伴わなければ意味がありません。

そのため、委託先や従業員との間で情報の不正開示を制限する秘密保持契約を締結したり、情報管理についてのルール周知や教育を実施することが肝要です。

情報の売却や転職時に有利となることを目的に情報を漏洩させる者がいることも事実ですが、セキュリティ意識そのものが希薄な方に対しては、それを意識づけさせるきっかけとなり、一定の抑止が期待できます。

(3)物理的安全性管理措置

有形の資料(書類やデータが格納されたサーバ等の記録媒体)を中心として施策ですが、情報ごとにアクセス可能場所・管理場所を限定しておき、また、その場所への出入り(入退室)について記録を取る等の措置が考えられます。そのほかにも、一定時間以上の離席時にパソコンにパスコードロックがかかるといった施策が挙げられます。

情報の漏洩を物理的に防ごうとする試みであり、アクセスできた人員を特定できることにもなるので、従業員や取引先の来訪者に対して、セキュリティ意識の向上も期待できます。

(4)技術的安全管理措置

情報という無形の財産を守るための措置を指しますが、情報のアクセスに対して、ID・パスワードを用いた認証システムを導入したり、情報毎に、必要最小限の社員のみがアクセスできるようにアクセス権限を段階的に設置したりといった措置が考えられます。

また、重要な情報については、情報そのものにパスワードを設定したり暗号化する等といった措置も考えられます。運用面では、たとえば重要な情報へのアクセス権限を有する従業員が退職した際には、パスワードを変更しておくといった工夫も考えられます。

6 当事務所でできること

以上みてきたように、社内の情報管理システムを構築するにあたっては、色々と意識すべき点があります。

当事務所においても情報管理システムの構築においては、これまで種々の企業様をサポートしてまいりました。

日頃の業務の中で情報の取扱いに疑問が生じたとき、各種の法規制・ガイドラインとの関係で問題がないかを検討させていただくことはもちろんですが、管理体制の見直しを図る場合には、法的なリスクを確認させていただくとともに、随時改善策をご提案しております。また、既に述べたように情報を十分に活用するためには、情報の取得時から工夫が必要であり、この観点からも継続的なチェックを提供いたします。

情報管理システムの構築にはコストがかかりますが、反面、情報ガバナンス・コンプライアンスが重視される今日の情報社会においては、企業の価値を向上させる付加価値にもなります。システムの構築はもちろん、日々の情報の取得・管理・活用の各場面で、法的な問題にリソースを割くよりも、そのコストを弁護士が分担することで本来の業務に注力することもできますので、これから情報管理システムの構築をお考えの方、既に構築されたシステムを見直されたい方は、お気軽に当事務所までご相談ください。

pegetop