情報セキュリティ関連法規の全体像
ユョッタ/情報セキュリティマネジメント専門官日本って情報セキュリティ関連の法律めちゃくちゃ多いけど、全部覚えなくて大丈夫よ。必要なとこだけ押さえとけば十分だから。
大事なのは「個人情報保護法」「不正競争防止法」「サイバーセキュリティ基本法」「不正アクセス禁止法」の4本柱だ。 これにプラスして、労働場面と取引場面で特有のルールが乗っかってくる。
労働関連 → 主に従業員の個人情報と社内セキュリティ教育
取引関連 → 主に営業秘密と委託先・取引先との情報共有
それじゃ、労働編からいってみようか。
【労働関連】従業員の情報守らないと、個人情報保護委員会(PPC)に怒られるぞ
ユョッタ/情報セキュリティマネジメント専門官会社って、従業員の個人情報めちゃくちゃ抱えてるのよ。 給与明細も住所も健康診断の結果もマイナンバーも…全部ちゃんと個人情報保護法の対象ね。 『うちは中小だから関係ないし〜』なんて甘いこと言ってたら、漏れた瞬間に本当に大炎上するからね。
1. 個人情報の保護に関する法律(個人情報保護法)
- 従業員情報も完全に適用される。氏名、生年月日、住所はもちろん、病歴や宗教みたいな「要配慮個人情報」は取得時に本人の同意が必須。
- 安全管理義務:従業員の監督、教育、物理的・技術的対策をちゃんとやれ。
- 漏洩時の報告義務:2022年改正で、漏洩したら個人情報保護委員会への報告+本人通知が義務化。遅れるとさらにヤバい。
- 罰則:法人に対して最大1億円の課徴金。個人だと1年以下の懲役or100万円以下の罰金。
厚生労働省が出してる「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」も超重要。 採用時の履歴書、在職中の評価シート、退職後の源泉徴収票…全部ここに書いてあるルールに従えよ。
2. マイナンバー法(正式名称:行政手続における特定の個人を識別するための番号の利用等に関する法律)
- 給与計算や社会保険で使うマイナンバーは特定個人情報扱い。
- 取り扱いは個人情報保護法より厳しい。漏洩したら個人情報保護委員会+マイナンバー担当部署にダブル報告。
- 罰則がエグい:最大4年以下の懲役or200万円以下の罰金(※主に「不正提供」「目的外利用」などの故意犯が対象)
3. テレワーク・リモートワーク時のセキュリティ(ガイドライン)
- 厚生労働省の「テレワークガイドライン」では、VPN必須、私物PCの制限、情報持ち出しルールなどを推奨。
- 2024年の労働基準法改正(時間外労働上限規制)で、在宅勤務増えた結果、セキュリティ事故も増加中。 「残業減らしたのに情報漏洩で残業増えた」なんて笑えないぞ。
4. その他関連
- 労働安全衛生法:メンタルヘルス情報は要配慮個人情報なので超慎重に。
- 内部不正防止:IPAのガイドラインで、退職時の情報返却ルールとか書いてある。
要するに、従業員の情報は「宝物」じゃなくて「爆弾」だと思って扱え。
【取引関連】営業秘密漏らしたら、取引先から訴えられるだけじゃ済まない
ユョッタ/情報セキュリティマネジメント専門官取引先と情報やり取りする時がいちばん危ないのよ。 NDA(機密保持契約)結んでても、法律に触れたら普通にアウト。
違反したら一発で刑事罰なんだから、ほんと気をつけなきゃね。
1. 不正競争防止法(営業秘密保護の最強法律)
- 営業秘密の3要件: ① 秘密として管理されている(パスワードかけたり「秘」マークつけたり) ② 事業活動に有用(顧客リスト、製造ノウハウ、価格表など) ③ 公然と知られていない(ネットに載ってない)
- 禁止行為:不正取得、使用、開示。退職者が持ち出して転職先で使うパターンもアウト。
- 罰則:
- 個人:最大10年懲役or2000万円罰金(国外使用なら3000万円)
- 法人:最大10億円の罰金(2022年改正で爆上げ)
- 民事でも差止請求+損害賠償請求可能。
これが取引関連で一番ヤバい法律。顧客リストをExcelで持ち出して転職したら即逮捕コース。
2. 個人情報保護法(取引先の個人情報編)
- 取引先から預かった個人情報(例:エンドユーザーの名簿)も当然対象。
- 委託先監督義務:外部に委託したら、委託先のセキュリティチェック必須。
- 通則ガイドラインに「委託先選定基準」「契約書への記載事項」が詳しく書いてある。
3. 電子署名及び認証業務に関する法律(電子署名法)
- 電子契約やオンライン取引の信頼性を担保。
- 電子署名がちゃんと付いてれば、紙と同じ効力がある。
- 取引のデジタル化が進む今、必須知識。
4. 業務委託時の注意点(ガイドライン)
- IPAや経産省のガイドラインで、委託契約にセキュリティ条項入れるよう推奨。
- 「委託先が漏洩しても元請けが責任取る」判例多数。逃げられないぞ。
全体をまとめた比較表
| 分類 | 主な法律・指針 | 対象となる情報例 | 主な義務・罰則 |
|---|---|---|---|
| 労働関連 | 個人情報保護法 | 従業員の住所、健康診断、評価シート | 安全管理・漏洩報告義務/最大1億円課徴金 |
| 労働関連 | マイナンバー法 | マイナンバー | 厳格な取扱い/最大4年懲役 |
| 労働関連 | 雇用管理分野の個人情報指針(厚労省) | 採用履歴書、退職後情報 | 適正取扱い指針遵守 |
| 取引関連 | 不正競争防止法 | 顧客リスト、製造ノウハウ | 秘密管理・不正使用禁止/最大10億円罰金 |
| 取引関連 | 個人情報保護法(委託先監督) | 取引先から預かった個人情報 | 委託先監督義務/漏洩時報告 |
| 共通 | サイバーセキュリティ基本法 | サイバー攻撃全般 | 国のサイバー対策の基本方針を定める法律(企業への直接罰則はなし) |
| 共通 | 不正アクセス禁止法 | ID・パスワードの不正使用 | 3年以下の懲役or100万円以下の罰金 |
※罰則は代表例で、実際の適用は行為内容や状況により異なる。
最後に:対策しないとマジで終わるよ
法律守るのは面倒くさいけど、漏洩して炎上する方が100倍面倒くさい。 実際、ISMS(ISO27001)取ったり、定期教育やったり、契約書にしっかり条項入れたりするなどで9割は防げる。
- 従業員教育年間1回以上
- 秘密情報には「社外秘」マーク+アクセス制限
- 退職者にはPC返却+アカウント即停止
- 取引先とはNDA+セキュリティチェックリスト
これやってれば、少なくとも「知らなかった」は通用しないレベルにはなる(笑)。
コメント