改正された個人情報保護法の施行に備える 対象は中小企業にも広がります

鍵と額縁

昨年(2015年)9月に改正された個人情報保護法について、今後の施行が予定されています。施行に備え、改正された内容を予習をします。

説明のポイント

  • 改正後の個人情報保護法は、中小企業も対象範囲に含まれる
  • 個人情報を取得する場合は、利用目的の公表、通知が必要
  • データの保管管理措置、委託先への監督義務も
スポンサーリンク

 

個人情報保護法とは?

個人情報保護法とは、個人の権利や利益の保護と、個人情報の有用性とのバランスを図るための法律です。

情報管理に対する意識の高まりを受けて制定されましたもので、2003年に成立、2005年に全面施行されてから、すでに10年以上が経過しています。

その個人情報保護法が、昨年(2015年)に改正されました。改正の理由は、個人情報に該当するのかわかりづらい”グレーゾーン”の拡大や、ビッグデータとしての適正な利活用の環境整備、事業活動のグローバル化が背景としてあります。

なお、改正法は成立していますが、まだ施行されていません。

法施行は、2017年(平成29年)5月30日とされています。

個人情報とは?

個人情報とは、「生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)」をいいます。

これに加えて、改正法では「顔認識データ、指紋認識データ等」や「旅券番号、免許証番号等」の個人識別符号も個人情報に含まれることになりました。

改正法で、すべての事業者が義務の対象になる

改正前は、5,000人以下の個人情報を取り扱う事業者(小規模取扱事業者)は、個人情報保護法の適用対象外とされていました。

しかし、改正法施行後は、すべての事業者(個人事業主やNPOなども含む)も、個人情報保護法を守る必要のある事業者(個人情報取扱事業者)になります。

小さい会社だったり、個人事業主であっても、すべての事業者に関係のある話になります。

事業者は何に注意する必要があるのか

パソコンと鍵

1.【取得時】個人情報を取得する場合に、利用目的を本人に通知するか、公表する

個人情報の取得をする場合には、ホームページや事業所内に利用目的(個人情報保護方針)を掲示します。書面で直接取得する場合には、本人に利用目的を明示する必要があります。

また、取得した個人情報は、利用目的以外のことには使えないことに留意しましょう。

人種、信条、社会的身分、病歴、犯罪歴などの「要配慮個人情報」の取得には、あらかじめ本人の同意が必要です。「要配慮個人情報」は第三者への提供ができません。

2.【保管時】データの保管管理に必要な安全管理措置、漏えい防止を図る

データの保管管理について安全に管理できるように努めます。

例えば、紙の顧客台帳がある場合は、カギのかかる引き出しで保管します。パソコンにある顧客データには、パスワードを設定して安全管理措置をとり、不必要なデータは消去します。なお、必要な措置の範囲は、業種によって異なります。

従業員が個人情報を扱う場合は、監督義務が課されます。個人情報保護規程を整備することが必要でしょう。また、他業者に個人情報データの委託を行っている場合は、委託先に対する監督義務もあります。

3.【提供時】個人情報の名簿データを第三者に提供するには本人の同意が必要(例外あり)

個人情報を第三者に提供する場合には、本人の同意が原則として必要です。ただし、法令に基づく場合や国の機関への協力などの場合は除きます。委託、合併等、共同利用は第三者提供にあたりません。

4.その他

  • 苦情の申し出を受け付けるよう努める
  • 本人からの開示請求に応じる。必要な場合は訂正や利用停止の措置をとる
  • 法律に違反している疑いがあるときは、国による調査や指導・命令を受ける場合がある

【追記】これらの内容については、個人情報保護委員会から、中小企業向けの丁寧な説明資料が公開されています。

参考:【PDF】はじめての個人情報保護法 ~シンプルレッスン~(個人情報保護委員会)
参考:【PDF】中小企業向け 個人情報保護法の5つの基本チェックリスト (個人情報保護委員会)

まとめ

改正後の個人情報保護法について確認しました。

今回の改正では、中小企業や個人事業主を含むすべての事業者に影響が及ぶのがポイントです。これまでのマイナンバー法による情報管理に加え、今後は個人情報の取り扱いにも注意が必要になります。

例えば、ホームページに送信フォームがある場合は、要注意です。個人情報の利用目的を掲示したり、メールフォームの送信の暗号化することも必須でしょう。

今後は、事業者が個人情報をどう管理しているのかという点が問われる時代になります。これは小規模事業者であっても例外ではありません。

今回まとめた情報は、次の資料から抜粋しています。

改正後の個人情報保護法の施行は、2017年5月30日とされています。施行に備え、いまからでも対応を実施しましょう。

スポンサーリンク