ENGINEER EDUCATION PROGRAM

個人情報
保護法
実践ガイド

エンジニアが現場で知っておくべきこと
〜今日から使える実践知識〜

PI

INTERNAL USE ONLY

CONTENTS

本日の
テーマ

01

個人情報とは何か

定義と対象範囲

02

エンジニアが直面するリスク

現場で起きやすいシーン

03

保守開発で守る 8つのルール

具体的なNG・OK例

04

現場でやりがちな違反 TOP 3

インシデントから学ぶ

05

漏洩時の対応フロー

いざというときの動き方

06

日常業務チェックリスト

今日から使えるセルフチェック

01 — DEFINITION

個人情報とは？

氏名・生年月日・メールアドレス・電話番号など、
特定の個人を識別できる情報のすべてが対象。

氏名生年月日メールアドレス電話番号住所顔写真 IPアドレス（紐付き）Cookie ID（紐付き）

⚠ 違反した場合、会社に行政処分・罰則が科される可能性があります。「自分には関係ない」では済まされません。

02 — WHY IT MATTERS

エンジニアが知るべき理由

▲ エンジニアが関わるリスク

▸ DB・ログに個人情報が混入する

▸ テスト環境で本番データを使ってしまう

▸ 外部APIへ個人情報を渡してしまう

▸ アクセス権の設定・管理ミス

✓ 知っていると守れること

▸ 情報漏洩・不正アクセスを防止できる

▸ 会社とお客様への信頼を守れる

▸ 法律違反を未然に防げる

▸ 万が一のときも適切に動ける

💡 損害賠償・行政処分につながる前に、日常のチェック習慣で防ぐことができます。

03 — 8 RULES

保守開発で守る 8つのルール

①

個人情報の把握・台帳管理

どのDBに何があるかを一覧管理。引き継げる状態に。

OK ▸ 台帳で管理

②

本番データをテストに使わない

ダミー・マスキン��データのみ使用。

OK ▸ ダミーデータ

③

アクセス権限の最小化

必要な人だけに絞る。退職・異動時は即削除。

OK ▸ 個人アカウント

④

ログへの個人情報混入防止

氏名・メアドをログに出力しない。IDのみ。

OK ▸ IDのみ出力

⑤

外部サービス連携の確認

API連携前に利用規約で第三者提供を確認。

OK ▸ 規約を確認

⑥

保存期間と削除

不要な情報は速やかに削除。期限は自動化を。

OK ▸ 自動削除

⑦

漏洩時の報告義務

2022年改正で義務化。発見したら上長へ即報告。

OK ▸ 即報告

⑧

委託先の管理責任

外部委託先の管理は「自社の責任」。契約書に明記。

OK ▸ 契約書に明記

04 — TOP VIOLATIONS

現場でやりがちな違反 TOP 3

🥇

VIOLATION

本番データをテストに使う

実データが開発者全員に見える状態に。DBダンプが外部に漏れるリスクも高い。

TODAY'S ACTION

マスキング済み・ダミーデータを使う

テスト璨データを事前に整備してチーム内で共有する

🥈

VIOLATION

ログに個人情報をそのまま出力する

ログ閲覧者全員に見える。外部監視ツールへの転送で第三者提供になる場合も。

TODAY'S ACTION

IDやハッシュ値のみ出力

チームでルールを統一し、コードレビューでチェックする

🥉

VIOLATION

退職者のアクセス権が残ったまま

退職後もDBやシステムにアクセスできる状態が続く。

TODAY'S ACTION

オフボード手順に権限削除を追加

退職手続きのチェックリストに「アカウント削除」を必須項目として追加

05 — INCIDENT RESPONSE

漏洩が起きたときの対応フロー

STEP 01

発見・
初動

影響範囲の確認
拡大防止措置

→

STEP 02

上長へ
報告

隠さず・すぐに
事実を報告

→

STEP 03

社内調査
・記録

原因の特定
証跡の保全

→

STEP 04

当局・
本人通知

個人情報保護委員会
への報告（義務）

⚠ 2022年改正 により、一定規模以上の漏洩は当局への報告・本人への通知が法的義務となりました

06 — DAILY CHECKLIST

日常業務チェックリスト

TESTING

テスト環境に本番データを持ち込んでいないか

ダミーデータ・マスキングデータを使用しているか

LOGGING

ログに氏名・メールアドレス等が出力されていないか

外部監視ツールへ個人情報が転送されていないか

EXTERNAL API

APIに個人情報を渡す前に利用規約を確認したか

ACCESS CONTROL

退職・異動者のアクセス権を削除したか

DBアカウントは個人ごとに発行されているか

DATA RETENTION

保存期限を過ぎた個人情報を削除したか

OUTSOURCING

外部委託先との契約書に個人情報の取扱いが明記されているか

TAKEAWAY

迷ったら
隠さず
相談を

個人情報の取り扱いで判断に迷ったときは、「上長への確認」を迷わず選んでください。

決済情報・医療情報・会員の個人情報など、漏れると致命的な情報を扱う場合は必ず法務担当者にも確認を。

🔒 一人で抱え込まない。
それが最大の予防策です。