操作ログの個人情報としての取扱い


テレワークが普及し、セキュリティ対策や勤怠管理などの目的で操作ログを収集して、一元的に管理することが当たり前の時代になってきました。
こうした操作ログを集中管理できないと、セキュリティ対策が個人のモラルに依存することになり、不正やサイバー攻撃からの脅威に対処することがとても難しくなってしまいます。
そんな中、企業がPCの操作ログを取得することは個人情報の取得に該当しないのか?もしそうであれば、個人情報保護法の取扱い規定に該当するのではないか?がが気になります。

PCの操作ログは、管理したい目的によりユーザのログイン・ログアウトの情報、アプリケーションの操作履歴、ファイルやフォルダの編集履歴、ネットワーク接続の通信履歴、メールやSMSの送受信・添付ファイル、印刷履歴などを取得し、そのデータの中には、端末名、ユーザー名、IPアドレス、位置情報、ブラウザの種類、デバイス名等の情報が含まれています。
Googleアナリティクスなどで、サイトの利用状況などのデータ収集及び解析を行うためにCookieを使ってIP アドレスなどの情報を収集するケースでは、多くの場合個人を特定できるものではないとのことですが、従業者の業務PCでの操作は、ユーザー名や使用端末名が、使用者の名簿と関連付けられて管理されているはずなので、「個人情報」に該当します。
以前は取得から6カ月以内に消去される短期保有データは「保有個人データ」に該当しなかったのですが、令和2年の個人情報保護法の改正により、短期保有のデータであっても、検索可能に体系化されていれば「保有個人データ」に該当し、操作ログも社員情報ファイルなどとの照合で個人が特定できてしまう場合は「個人情報」に該当することになりました。

そうなると、個人情報保護法に則って、利用目的の同意を従業者と事前に行う必要があるはずです。そればかりか、利用目的の制限に加え、利用目的の通知・公表、安全管理措置、第三者提供の制限、開示・利用停止等の請求対応について、会社側ですべて対応していなければなりません。
企業は、就業規則や高度指針などで、個人情報に関し従業者に対して厳しく規定していますが、逆に「保有個人データ」となるログデータは、従業者本人による利用停止請求等の対象となるためその取扱いについても明確に定め、周知徹底を図り、従業者に同意を得ておく必要があります。

また、ログデータには、従業者の情報か外部の情報かを問わず意図せずに個人情報が含まれてしまっている場合も想定されます。
そのため、個人情報がどこに存在するのかをツールなどを使用して、自動的に判別して、個人情報として適切な安全管理措置を行っているかなどの定期的な監査も必要です。
また、ログ上に存在していなくても、ログの内容からテレワーク中に業務対象外の個人情報ファイルを入手していた形跡などが判明してしまう場合もあります。そのためにも、ログの分析は有効となるため、企業のリスク軽減のためにも、個人情報を意識した適切なログ管理システムが求められます。


PCの操作ログも、保有個人データに該当する


操作ログ, 個人情報