個人情報保護法は、平成2005年4月から施行されましたが、2015年9月に改正され、改正個人情報保護法が2017年5月30日から施行されています。
この改正によって、従来、個人情報保護法の対象外であった「取り扱う個人情報の数が5000以下である事業者」も対象となりました。
そこで、まず、個人情報保護法の概要を解説した上で、中小企業はどのように対応すればいいのかについて解説します。
個人情報保護法とは
個人情報
個人情報とは
個人情報とは、「生存する個人の情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を言います。
個人情報符号
個人情報符号とは、「特定の個人の身体の一部の特徴を電子計算機の用に供するために返変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」を言います。
要するに、マイナンバー、免許証番号、パスポート番号などです。
今回の改正では、この個人番号符号が個人情報に含まれることになりました。
要配慮個人情報
要配慮個人情報も、今回の改正で追加された項目です。
要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」のことを言います。
個人データとは
「保有個人データ」とは、個人情報取扱事業者が、開示、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことです。
ただし、下記のものは除きます。
・その存否が明らかになることにより公益その他の利益が害されるものとして、政令で定めるもの
・一年以内の政令で定める期間以内に消去することとなるもの
個人情報取扱事業者とは
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者を言います。
ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除きます。
個人情報を取り扱う場合の決まりとは
個人情報を扱う場合には、個人情報の取得、利用、保管、第三者提供、本人への公表の点で下記のような決まりがあります。
個人情報を取得・利用する場合
利用目的の特定及び変更(第15条)
個人情報を取り扱うには、その利用目的をできる限り特定する必要があります(第15条1項)。
また、利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならないとされています(第15条2項)。
利用目的による制限(目的外利用の禁止)
(原則)
個人情報は、本人の同意がなければ目的外使用はできません(第16条)。
(例外)
法令に基づく場合。人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
適正に取得すること
偽りその他不正な手段により個人情報を取得してはなりません(第17条1項)。
不正な手段で個人情報を取得した者から、その個人情報を取得してもいけません。
利用目的の通知・公表
(書面による直接取得)
本人から直接書面に記載された個人情報を取得する場合には、あらかじめ、その本人に対して、その利用目的を明示することが原則とされています(第18条2項)
(それ以外の取得方法の場合)
あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知又は公表しなければなりません(第18条1項)
(例外)
利用目的を通知・公表することで、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
個人事業取扱業者の権利又は正当な利益を害するおそれがある場合
取得の状況からみて利用目的が明らかであると認められる場合
個人データの保管
個人データは、漏えい、滅失、毀損等を生じさせないように安全管理措置を講じる必要があります(20条)。
また、従業員や委託先についても安全管理措置を講じるよう監督する必要があります(21条、22条)
個人データを第三者に提供する場合
(原則)
個人データを第三者に提供するには、本人の同意が必要です。
(例外)
法令に基づく場合
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
(確認・記録義務)
個人データを第三者に提供した場合には、受領者の氏名等を記録して、一定期間保存する必要があります(第25条)。
個人データの提供を受けた場合には、提供者の氏名等、取得経緯を確認して、その内容を記録し、一定期間保存する必要があります(第26条)。
この点は、今回の改正によって追加された点です。
本人から保有個人データの開示を求められた場合
(原則)
本人から請求があった場合には、保有個人データを開示しなければなりません(第28条1項)。
(例外)
開示によって、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(保有個人データにかかる事項の公表等)
①事業者の名称、②利用目的、③請求手続の方法、④苦情の申出先をホームページでの掲載や配布するプライバシーポリシーへの記載などによって、本人の知りうる状態に置いておく必要があります。
(開示・訂正・利用停止等の請求)
本人は、保有個人データの内容が事実でないときは、訂正等を請求できますが、個人情報取扱事業者は、利用目的達成に必要な範囲内で訂正することになっています(第29条1項、2項)
本人は、保有個人データが、違法に目的外利用・第三者提供されている場合には、その利用や提供の停止を請求することができます(第30条)。
中小企業の行うべき安全管理措置
比較的緩やかな対応で足りる
個人情報保護委員会が定めた「個人情報の保護に関する法律についてのガイドライン(通則編)」では、いわゆる「中小企業」、つまり、従業員の数が100人以下の個人情報取扱事業者は、緩やかな特例的な対応で足りるとされています。
中小企業が取るべき手法の例示
上記の「個人情報の保護に関する法律についてのガイドライン(通則編)」で挙げられている中小企業が取るべき手法の例示を紹介します。
組織的な安全管理措置
①組織体制の整備個人データを取り扱う従業員が複数いる場合、責任ある立場の者とその他の者を区別する②個人データの取扱いに関する規律に従った運用と、その取扱状況を確認する手段の整備あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを責任ある立場の者が確認する③漏えい等の事業に対応する体制の整備漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する④取扱状況の把握及び安全管理措置の見直し責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う
人的な安全管理措置
⑤従業員に対する教育個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う
物理的な安全管理措置
⑥個人データを取り扱う区域の管理・機器及び電子媒体等の盗難の防止個人データを取り扱うことのできる従業者及び本人以外が用意に個人データを閲覧等できないような措置を講ずる個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を施錠できるキャビネット・書庫に保管する個人データを取り扱う情報システムが機器のみで運用されている場合がは、当該機器をセキュリティーワイヤー等で固定する⑦電子媒体等を持ち運ぶ場合の漏えい等の防止個人データが記録された電子媒体又は個人データが記載された書類を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難を防ぐための安全な方策を講ずる⑧個人データの削除及び機器、電子媒体等の廃棄個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを責任ある立場の者が確認する
技術的な安全管理措置
⑨アクセス制御個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する⑩アクセス者の識別と認証機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人データベース等を取り扱う情報システムを使用する従業者を識別・認証する⑪外部からの不正アクセス等の防止個人データを取り扱う機器等のオペレーションシステムを最新の状態に保持する個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新等の活用により、これを最新状態とする⑫情報システム使用に伴う漏えい等の防止メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する
まとめ
利用目的などの通知・公表の具体的な方法、例えば、プライバシーポリシーの作成やホームページへの記載方法などは、弁護士にご相談ください。
もっとも気を付けなければならないことは、個人データの保管面です。
個人データの流出は、大きなニュースとなり、中小企業といえども信用に大きな影響を受けることになりかねません。
具体的にどうすればいいのかについても、弁護士にご相談ください。