第29回 改正個人情報保護法の全面施行は5月30日に! 企業は早急にセキュリティ強化を!
2015年9月9日に公布された「改正個人情報保護法」が、2017年5月30日に全面施行されることになりました。公布から2年以内(2017年9月まで)とされていた施行日が決まり、これに伴い一部変更となった「基本方針」をはじめ、改正後の同法に関連する「施行令」「施行規則」「ガイドライン」なども同日より施行となります。改正法はほぼ全ての事業者が法令の対象となるため、各企業はさまざまな対応準備に迫られることになります。
改正個人情報保護法の全面施行は5月30日に! 企業は早急にセキュリティ強化を!
定義拡大! 中堅・中小企業も無視できなくなった……
改正による変更点は幾つかありますが、中でも大きいのは何といっても「個人情報取扱事業者」の定義拡大です。これまでの対象は「過去6ヶ月以内に5,000人以上の個人情報を保有する事業者」でしたが、改正後はこの条件が撤廃され、事業規模に関係なく、個人情報を事業の用に供している事業者であれば、全て「個人情報取扱事業者」となります。
そもそも「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいいます。改正後は、新たに顔認識データといった身体的特徴などを個人情報として明確化。また、人種、信条、病歴など不当な差別や偏見が生じる可能性のある個人情報は「要配慮個人情報」と定め、原則として本人の同意を得ることを義務化しました。
企業が対策を講じなければならない理由とは?
経済産業省の個人情報保護法ガイドライン(現行)は、「個人情報取扱事業者は、その取扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(中略)組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。」とあり、個人情報を取り扱う以上、ガイドラインに沿った漏えい対策は必須となります。
ガイドラインに書かれている具体的対策はあくまでも「努力義務」のため、「全ての対策を行っていないと法律違反」ということにはなりません。しかし、漏えい事件・事故があった時に「どこまで安全管理措置を行っていたか」ということは、裁判などで評価されることになります。個人情報取扱事業者にとっては、より強固な安全管理措置をとるよう、具体的な対策・社内の運用体制の整備をしていくことが求められます。
次回は2月上旬の更新予定です。