ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第5回 改正個人情報保護法 実務対応のポイント1
「個人情報保護法」が改正、平成29年5月30日に全面施行されます。「法改正が企業に与える影響」や「行うべき対策」などを個人情報保護法に関わる社内実務に詳しい、社会保険労務士 北條孝枝氏に聞きました。
改正個人情報保護法 実務対応のポイント1
個人情報、具体的にはどのようなもの?
まず、「個人情報」とは、どのようなものなのか、確認させてください。
「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別できるものなど」を言います。改正により、個人情報の定義も明確化します。(下記の表をご参照ください)
- 現行法で個人情報に含まれるもの
- 氏名・生年月日・住所・電話番号/クレジットカード情報/顔の画像/防犯カメラ(画像・音声データ)/銀行口座番号/個人識別が可能なメールアドレス
- 改正後含まれるもの
- 指紋認証・顔認証データ/パスポート番号/免許証番号/端末IDや機器に関する情報
- 改正後、取扱いについて特に配慮を要する個人情報(要配慮個人情報)
- 人種・信条・社会的身分/病歴、健康情報等/犯罪歴・被害歴
改正の主な内容は?
今まで、グレーゾーンであったところが、明確に定義されたのですね。それでは、次に、改正の主な内容を教えてください。
多くの企業に関係するものとして、主に以下のような改正があります。
- 個人情報の定義が明確化されます。
(新たに対象になるものは上記の表をご参照下さい) - ほぼ全ての事業者が規制の対象になります。
(以前は小規模事業者は対象外でした) - 個人情報の取得、保管、提供、廃棄などを安全に行うための対策の強化がもとめられます。
営利目的の業務で顧客情報を扱わない場合も対象
ところで、営利目的の業務でお客様の個人の情報を扱わない事業者は「個人情報取扱事業者」として個人情報保護法の義務を負わないと考えてよいでしょうか?
業務でメールソフトのアドレス帳、携帯電話の電話帳、ソフトウェア等でリスト化された従業者や顧客の台帳、50音順等で整理し、インデックスを付してファイルしている登録カードなどを使っていませんか? そのような場合は「個人情報取扱事業者」となります。
法人か、営利か、非営利かに限定されないため、個人事業主やNPO、自治会等も対象です。
ほぼ全ての企業が対象、全従業員への教育が必要
なるほど! 大量の顧客情報を扱う企業だけが対象になるのではなく、従業員の個人データを扱う場合でも個人情報保護法の義務を負うことになる、ということは、ほぼ全ての企業が対象になりますね。
そうなんです。しかも、メールソフトのアドレス帳や携帯電話の電話帳は一般社員の方でも扱うと思います。
情報の流失事故の8割近くが人為的なミスによるものという調査結果もあります。5月30日の全面施行前に、きちんと全従業員の教育をしておくことが必要です。
罰則よりも重い、漏えい事故のもたらす損失とは?
違反した場合の罰則などはあるのでしょうか?
個人情報をデータベースを不正な利益を図る目的で提供もしくは盗用した場合、「個人情報データベース等不正提供罪」で1年以下の懲役または50万円以下の罰金が科されます。
ただ、それ以上に、漏えい事故は、企業の信用の失墜、損害賠償責任、営業秘密や従業技術の流出による損失につながる懸念があります。
企業が準備するべきことは?
改正個人情報保護法は、ほぼ全ての事業者が適切な対応しなければ、いろいろな損害を被る可能性があるということがわかりました。では、企業が準備しておくべきことは何でしょうか?
まずは、部署ごとにどのような情報を扱っているかを洗い出し、誰が、どの業務で、何のために、どのように保管、利用する必要があるのかを整理しましょう。
目的以外の利用がないか、必要のない社員も扱えるようになっていないか、保管すると決めた以外の個人のPCやタブレットに保管されていないか等も確認しておきましょう。また、ルールを決めたら、きちんと守るよう徹底していきましょう。
実務のイメージがつかめました! 北條先生、ありがとうございました!
次の記事を読む