ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第6回 改正個人情報保護法 実務対応のポイント2
「個人情報保護法」が改正、平成29年5月30日に全面施行されます。「法改正が企業に与える影響」や「行うべき対策」などを個人情報保護法に関わる社内実務に詳しい、社会保険労務士 北條孝枝氏に聞きました。
改正個人情報保護法 実務対応のポイント2
事業者の対応状況は?
改正個人情報保護法が全面施行になりますが、事業者の対応は進んでいるのでしょうか?
一般財団法人日本情報経済社会推進協会と株式会社アイ・ティ・アールが実施した「企業IT利活用動向調査2017」によると、
「すでに対応が完了している」とした企業は22.0%、「全面施行(2017年5月)までには対応が完了する見込み」とした企業が半数近く(46.3%)で、多くの企業が「駆け込み型」で対応を行うようです。
引用(2017年4月17日)
企業IT利活用動向調査2017(JIPDEC WEBサイト)
まずは、社内の個人情報の棚卸から
前述の調査では、約16%が「いつまでに対応が完了できるかわからない」と回答。その中には、「何から対応すべきかわからない」企業もあるようです。多くの企業に共通する「対応すべきこと」と「手順」を教えてください。
まず、社内にどのような個人情報があるのか棚卸しをします。あわせて、「誰が、どの業務で、何のために、その個人情報を保管・利用しているのか」を洗い出します。
その際、各部署ごとに話し合って洗い出すとよいでしょう。
また、どのようなものが個人情報になるかわからないという方も多いので先立って社員研修を行うと棚卸がスムーズになりますね。
個人情報の棚卸を行うことで、「目的以外の利用がないか」「必要のない社員も扱えるようになっていないか」を確認できます。
また、不要な個人情報があれば、漏えいのリスクを下げるために、この機会に廃棄しましょう。
次に、個人データを安全に管理するための対策がとれているかを確認しましょう
個人情報の棚卸が終わったら、次に行うべきことは何でしょうか。
改正ガイドラインでは、近年の情報漏えい事案を背景として、安全管理の強化がもとめられています。下記のような安全管理を従業者、委託先に徹底しましょう。
組織的安全管理措置
個人情報を取扱う担当者の業務内容を明確にし、取扱責任者は個人データの取扱状況を定期的に点検しましょう。
人的安全管理措置
個人データの取扱いに関する留意事項について定期的に教育を実施しましょう。(取扱担当者/全従業員)
物理的安全管理措置
盗難、漏えい対策を実施しましょう。(紙台帳や電子機器の施錠管理、PCのセキュリティワイヤーでの固定等)
技術的安全管理措置
社外からのサイバー攻撃、内部不正への対策を実施しましょう。(ウイルス対策ソフトの導入、アクセス制御、アクセスログ管理等)
小規模事業者にもとめられる対策は?
改正法では、今まで対象でなかった小規模事業者も法規制の対象になりますが、大企業と同様の安全管理に関する対応を行わねばならないのでしょうか。
ガイドラインでは、安全管理措置について、一般的な義務・手法とは別に、小規模の事業者*においても履行できるような例が示されています。ただし、従業員教育など、一部、大企業と同様の手法がもとめられます。ガイドラインをよく読み、適切な安全管理を行いましょう。
引用(2017年4月17日)
改正法の施行準備について(個人情報保護委員会 WEBサイト)
大企業と同様の手法がもとめられる安全管理措置
- 個人データの取扱いに関する留意事項について、従業者を定期的に教育する
- 個人データについての秘密保持に関する事項を就業規則等に盛り込む
- 個人データを取扱う機器、電子媒体、個人データが書かれた紙書類等を施錠管理する
- 個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等で固定する
*ガイドラインにおける「中小規模事業者」とは、「従業員の数が100人以下の個人情報取扱事業者であって、1. 取り扱う個人情報の数が過去6月以内いずれかの日においても5,000人分を超えない、かつ、2. 委託に基づいて個人データを取扱わない」事業者です。
法改正後、あらたに個人情報を取得する場合の注意は?
既に保有している個人データに関する対策についてはよくわかりました。
次に、法改正後にあらたに個人情報を取得する場合の注意事項を教えてください。
個人情報を「何のために利用するのか」を特定し、あらかじめ本人に通知、公表しましょう。本人に通知した目的以外の利用は行えません。また、要配慮個人情報(人種、信条、犯罪歴、病歴等)の取得時は、本人の同意を得ましょう。
社内の個人情報は顧客のものとは限りません。例えば、従業員の「病歴」や「健康診断等の結果」などの健康情報は「要配慮個人情報」に該当します。「業務に差し支えのある傷病があり配慮が必要かを知りたい」など利用目的を伝え、本人に申告してもらいましょう。申告のための書式を用意しておくとよいですね。
DM発送など、今後のマーケティング活動で注意する点は?
業務で記名アンケートを取得し、それに基づくマーケティング活動を行っているなど、個人情報をマーケティングに利用している場合、注意する点を教えてください。
協賛企業など第三者に個人データを提供したり、第三者から個人データの提供を受ける場合、提供者(受領者)氏名、提供年月日、取得経緯(受領時)などを確認・記録し、一定期間保存することが新たに義務付けられます。
これは、大手教育系出版社の大規模漏えい事案をきっかけに、名簿業者が介在する違法な個人情報の流通を抑止するために定められました。第三者には原則、親兄弟会社、グループ会社も含まれます。適切な手順で正しい運用を行いましょう。
北條先生、ありがとうございました!
やるべきことを整理して頂き、自社で取り組まねばならないことが明確になりました!
前の記事を読む
次の記事を読む