2023年1月11日情報セキュリティ

【2024年版】改正個人情報保護法に伴う従業員教育、何が求められるか？

2022年4月に全面施行となった「改正個人情報保護法（以下、改正法）」に合わせて、多くの企業はまずプライバシーポリシー改訂や公表事項の追加・修正といった社外対応に追われていたものと思われます。一方で、社内向けの対応はどうしても後回しになりがちですが、従業員教育も重要なタスクの一つだということを忘れてはいけません。

今回は、改正法における従業員への情報セキュリティ教育について詳しく解説します。従業員教育を行う必要性や具体的に盛り込むべきポイント、そしておすすめの外部サービスについて紹介しますので、これから研修を検討している担当者の方は参考にしてください。

従業員へ情報セキュリティ教育を行う必要性

まず前提としてなぜ従業員教育を行う必要があるのでしょうか？個人情報保護法に対する社内啓蒙に加えて、従業員のセキュリティ意識を高めなければならないと感じさせる事件が次々に起こっています。

東京商工リサーチが行った2023年度の調査では、上場企業とその子会社における個人情報漏えい・紛失事故の件数は175件（前年比6％増）であり、漏えいした個人情報は4090万8718人分（前年比590.2％）でした。NTTグループの元派遣社員が顧客情報を不正に持ち出した事件など、大型事故が8件発生しており、漏えいした個人情報が大幅に増えています。不明分も含めると、実態はさらに多くなるとみられています。年間の漏えい人数は、歴代最多のベネッセホールディングスの漏えい事故が発生した2014年（3615万1467人）を抜いて最多となりました。

参考：東京商工リサーチ「2023年の「個人情報漏えい・紛失事故」が年間最多　件数175件、流出・紛失情報も最多の4,090万人分」

類似のデータとして、一般財団法人日本情報経済社会推進協会（JIPDEC）が公表している「2022年度『個人情報の取扱いにおける事故報告集計結果』」によれば、Pマーク取得事業者から計7,009件の事故報告がありました。事故の内訳として、「誤送達・誤交付」（3,013件：43%）が最多となっており、次いで「誤送信」（1730件：24.7％）、「紛失・滅失・き損」（785件：11.2％）となっています。傾向としては、人為的ミスが多いことが分かります。

※上記内容については、こちらの記事で詳しく解説しています。

上にも書きましたが、NTTグループの元派遣社員による個人情報の不正な持ち出しが記憶に新しいですが、これらを見て何らかの対策が必要であると感じた方もいたのではないでしょうか。また、誤送信など「結果的に重大な事故にはならなかったが紙一重のトラブルだった」という経験は、誰しも経験のあるものかもしれません。

情報社会と言われる昨今では、こうした危機管理に対する意識の底上げを図っておく必要があるのです。

従業員教育の具体的なポイント

では、具体的にどのような教育を行えば良いのでしょうか。ここでは「意識向上」と「仕組み作り」の2つの視点から紹介します。

従業員の知識と意識の向上

知識のアップデート

個人情報保護法は数年ごとに改正されることになっており、定期的な知識のアップデートが必要です。定期的な教育機会を設け、社員全体へ情報を共有しなければなりません。

2024年現在の改正個人情報保護法において社内周知が必要な例を挙げてみます。

◆「情報漏えい発生時の関係当局への報告・本人への通知義務」

情報漏えいが発生した場合の報告や通知について、具体的には、以下①～④のいずれかに該当する場合（＝報告対象事態）には、報告・通知の対応が必須とされています。

①要配慮個人情報が含まれる個人データ（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。）の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態
②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

情報漏えい事案が発生またはそのおそれがある場合、まずどの部署の誰に報告すべきか、指揮をとるのは誰か等、報告フローについては全従業員が認識しておくべきです。事案の大小に関わらず、従業員や委託先が個々に処理してしまうことには大きなリスクがありますので、何かあったら即時報告を徹底するよう周知しましょう。(※1)

※1：基本的に関係当局への報告は、「速報（個人情報取扱事業者が当該事態を知った時点から概ね3～5日以内）」「確報（速報に加え30日以内）」の2段階とされています。

◆2024年4月1日施行
以前は「個人データ」の漏えい等のみを報告等の対象としていました。今回の改正で、ECサイトなどに不正プログラムを設置し、ユーザーが入力フォーム等に入力したパスワードやクレジットカード情報などを盗み出す攻撃手法である「ウェブスキミング」を想定した漏えいも報告等の対象に含まれるようになっています。
ウェブスキミングでは、フォームを設置したウェブサイト運営者のデータベースに保存される前に情報が窃取されているため、その情報は個人情報保護法上、安全管理措置義務が課されていることが明確ではなく、漏えい報告義務もありませんでした。つまり、ウェブスキミングに関しては、セキュリティを確保する義務も、漏えいした際にその被害者や当局に対して報告する義務もないという問題が起こっていたのです。そのため、今回の改正によってウェブスキミングに関しても、安全管理措置義務や漏えい報告義務が課されるように明確化されています。

日々の業務に潜むセキュリティリスク

社内に潜むセキュリティリスクについて考える前に、まずは情報資産の把握が必要です。情報資産といえば、一般的にはパソコンやスマートフォン、USBメモリといったものが思い浮かびますが、一見意味のないように見えるものも、いつどこで価値が高まるか分かりません。社内で扱う情報はすべて資産であるという認識を持つことが重要です。

その中でも、普段から使う頻度の高いメールについて従業員の意識を高めておく必要があります。上記調査でも「誤操作」は情報漏えいの大きな要因となっており、メールの操作方法についてはルールを周知徹底しておかなければなりません。テレワークでチェック体制が曖昧になっている場合はより注意が必要です。

また、不正メールへの対処法も同様です。昨今の不正メールの内容は時代に合わせて巧妙に変化しているため、特徴を知り不正を見抜く力を養うことが求められます。もし不正メールを受信したり、誤って開封してしまったりした場合の社内報告・対応などについても周知しておくことが望ましいでしょう。

SNSの利用方法

FacebookやXなどからうっかり自社の機密情報を発信してしまったというニュースがたびたび話題になるように、SNSは一度アップして拡散されてしまえば情報を止める手段がありません。特に、入社歴の浅い社員にはプライベートアカウントの利用についても注意が必要です。

研修の仕組み作り

社内研修のポイントは、適切な実施計画を策定・実行し、研修後の振り返りまでを一括りにして実行することです。最低でも一年に一回以上は全社員に研修を実施し、進捗や理解度を把握するための報告書を作成します。

研修の形式は、リモートワークの推進により教育体系も多様化していますので、講義型やテキスト配布の自習、動画視聴、eラーニングなどをうまく組み合わせて、社員が自主性を持って取り組めるよう工夫が必要でしょう。また、テーマや目的によっては、参加メンバーを限定したり、外部講師による実施などを検討することも有意義です。

また、研修を実施する際には、確実に教育を浸透させるためにテストを行い、一定水準以上の習得が見られなければ個人情報取り扱い業務から外すなどの対策を検討しても良いかもしれません。

外部サービスをおすすめする理由

より専門的かつ効果的な従業員教育を行うために、ここでは外部サービスの活用をおすすめします。

従業員教育を外部のプロへ委託するメリットは、最新の専門知識を得られることです。情報セキュリティを脅かす脅威は刻一刻と形を変えており、古い情報で教育を行っても意味を成しません。最新の知見を持った専門家による指導は従業員への説得力も増すことでしょう。さらに、知人ではなく第三者からのアドバイスには耳が傾けられやすい側面もあります。