改正個人情報保護法で変わるログの扱い

特集

弁護士（大阪弁護士会）
弁護士法人英知法律事務所（代表岡村久道弁護士）に所属
村田充章氏

弁護士。同志社大卒。2018年、弁護士登録（大阪弁護士会）。同年、弁護士法人英知法律事務所へ入所し、現在、同事務所パートナー弁護士。取り扱い分野は、民事・商事法務一般のほか、特に、個人情報保護法務、保険法務（火災新種保険）、契約法務、M＆A法務、労働法関連法務等を中心的に取り扱っている。

はじめに

企業における従業員の業務状況の管理・把握の一環として、従業員が使用する端末のアクセスログの取得・管理を行うことがあります。もっとも、このような管理方法を採る場合、個人情報保護法（以下、「個情法」といいます）との関連から整理・検討しておくべき事項があり、以前からさまざまな議論がなされてきたところです。

今般、令和２年改正個情法が令和4年4月から施行され、前述のようなアクセスログの取得・管理の方法にも影響を与える改正内容となっていますので、この機会に、あらためて適正なアクセスログの取得・管理の方法を概観し、また今回の改正において特にどの点に重点を置いて整理・検討すべきか、ご説明したいと思います。

※「令和４年４月１日改正個人情報保護法対応チェックポイント」（個人情報保護委員会）を加工して作成。

改個別の検討

1個人情報としての規制

最初に、当該アクセスログが個人情報に該当するか否かを整理して確認することが必要になりますが、一口にアクセスログと言っても、内容はさまざまです。例えば、アクセスログの情報として、ある端末によるWebサイト等へのアクセス履歴自体は確認できても、誰が使用している端末なのかまでは特定できない場合、当該アクセスログは個人情報には該当せず、個情法の適用対象外となります。他方、アクセスログの情報内容として、端末の使用者名が含まれている場合、あるいは、端末の管理番号が含まれており、それを別の社内資料と容易に照合することで端末の使用者を特定できる場合は、当該アクセスログは個人情報に該当し、その取り扱いについては個情法による規制に服します。

当該アクセスログが個人情報に該当する場合、個情法による従来の規制として、➊➋等が義務づけられていました。

令和２年改正においては、➊の「利用目的の特定の仕方」として、本人が自らの個人情報がどのように取り扱われるのか、合理的に予測・想定できるようにすることが明確に求められています。そのため、抽象的な特定の仕方では問題があると考えられ、具体的に特定する必要があります。

➊当該アクセスログの利用目的を特定して、それ以外の目的に利用してはならないこと
❷当該アクセスログを適正な方法で取得すること

抽象的な特定の仕方×当該アクセスログの利用目的を特定して、それ以外の目的に利用してはならないこと
具体的な特定の仕方〇当該アクセスログを適正な方法で取得すること

2保有個人データとしての規制

会社が、アクセスログを定期的に取得・集積して、検索ができるようにデータベース化している場合には、当該アクセスログは保有個人データに該当し、個情法上、「個人情報としての規制」に加え、さらに保有個人データとしての規制が課されることになります。

当該アクセスログについて従来の規制では、事業の規模および性質、保有個人データの取り扱い状況（取り扱う保有個人データの性質および量を含む）、保有個人データを記録した媒体等に起因するリスクに応じて、安全管理措置を採るべきことが義務づけられていますが、具体的には➊～➍のとおりです。

また、当該アクセスログを第三者に提供する場合には、原則として、本人の同意取得が必要です。さらに、本人は、当該アクセスログの開示、利用停止等を請求することができ、会社としてこれに対応すべき義務があります。

令和２年改正では、「当該アクセスログを第三者に提供する場合」について、当該アクセスログの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならない（ただし、安全管理に支障を及ぼす恐れがあるものについては、その必要はない）こととされました。単に「安全管理措置を採っています」と通知するだけでは足りず、「安全管理規程の内容や管理責任者の氏名を開示する」などの対応が必要です。また、従来は「6か月以内に消去する情報は保有個人データに該当しない」とされていましたが、令和2年改正ではこのような情報も保有個人データに該当し得るとされましたので、アクセスログを6か月以内に削除する運用を採っている会社は注意が必要です。

➊ 組織的安全管理措置（管理体制の整備、取り扱い規程の策定等）
➋ 人的安全管理措置（担当者の教育等）
➌ 物理的安全管理措置（個人データを取り扱う区域の管理、電子媒体の持出し禁止等）
➍ 技術的安全管理措置（個人データへのアクセス制御等）

3経済産業省の指針

令和2年改正前に出された指針ではありますが、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」においては、個人データの取り扱いに関する従業者の監督の一環として、従業者を対象とするビデオ等によるモニタリングを実施する場合には、次の事項に留意すべきとされています。すなわち、以下の4点です。

➊ モニタリングの目的（取得する個人情報の利用目的）をあらかじめ特定し社内規程に定めるとともに、従業者に明示すること
➋ モニタリングの実施に関する責任者とその権限を定めること
➌ モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること
❹ モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと

そして、「雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましい。また、その重要事項を定めたときは、労働者等に周知することが望ましい」とされています。

係る経済産業省の指針は、個情法による規制の趣旨に沿ったものですが、要は「従業員のモニタリングを行うに際しては、モニタリング規程を策定して、管理責任者を任命し、規程どおりに実施されているかを継続的に監督すべき」というものであり、従業員が使用する端末のアクセスログを定期的に取得してデータベース化して管理するような場合も、モニタリングの一環として参考になります。そして、令和2年改正も踏まえると「アクセスログ取得の目的は具体的に規定すべき」こと、「係る規定内容や管理責任者は社内に開示し、可能であれば、事前に労働組合等とすり合わせを行うことが望ましい」といえます。

アクセスログ取得の従業員への周知について、研修用資料の一例