第6回 改正個人情報保護法 実務対応のポイント2

一般財団法人日本情報経済社会推進協会と株式会社アイ・ティ・アールが実施した「企業IT利活用動向調査2017」によると、

「すでに対応が完了している」とした企業は22.0％、「全面施行（2017年5月）までには対応が完了する見込み」とした企業が半数近く（46.3％）で、多くの企業が「駆け込み型」で対応を行うようです。

引用（2017年4月17日）
企業IT利活用動向調査2017（JIPDEC WEBサイト）

まず、社内にどのような個人情報があるのか棚卸しをします。あわせて、「誰が、どの業務で、何のために、その個人情報を保管・利用しているのか」を洗い出します。

その際、各部署ごとに話し合って洗い出すとよいでしょう。
また、どのようなものが個人情報になるかわからないという方も多いので先立って社員研修を行うと棚卸がスムーズになりますね。

個人情報の棚卸を行うことで、「目的以外の利用がないか」「必要のない社員も扱えるようになっていないか」を確認できます。
また、不要な個人情報があれば、漏えいのリスクを下げるために、この機会に廃棄しましょう。

改正ガイドラインでは、近年の情報漏えい事案を背景として、安全管理の強化がもとめられています。下記のような安全管理を従業者、委託先に徹底しましょう。

ガイドラインでは、安全管理措置について、一般的な義務・手法とは別に、小規模の事業者＊においても履行できるような例が示されています。ただし、従業員教育など、一部、大企業と同様の手法がもとめられます。ガイドラインをよく読み、適切な安全管理を行いましょう。

引用（2017年4月17日）
改正法の施行準備について（個人情報保護委員会 WEBサイト）

大企業と同様の手法がもとめられる安全管理措置

• 個人データの取扱いに関する留意事項について、従業者を定期的に教育する
• 個人データについての秘密保持に関する事項を就業規則等に盛り込む
• 個人データを取扱う機器、電子媒体、個人データが書かれた紙書類等を施錠管理する
• 個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等で固定する

個人情報を「何のために利用するのか」を特定し、あらかじめ本人に通知、公表しましょう。本人に通知した目的以外の利用は行えません。また、要配慮個人情報（人種、信条、犯罪歴、病歴等）の取得時は、本人の同意を得ましょう。

社内の個人情報は顧客のものとは限りません。例えば、従業員の「病歴」や「健康診断等の結果」などの健康情報は「要配慮個人情報」に該当します。「業務に差し支えのある傷病があり配慮が必要かを知りたい」など利用目的を伝え、本人に申告してもらいましょう。申告のための書式を用意しておくとよいですね。

協賛企業など第三者に個人データを提供したり、第三者から個人データの提供を受ける場合、提供者（受領者）氏名、提供年月日、取得経緯（受領時）などを確認・記録し、一定期間保存することが新たに義務付けられます。

これは、大手教育系出版社の大規模漏えい事案をきっかけに、名簿業者が介在する違法な個人情報の流通を抑止するために定められました。第三者には原則、親兄弟会社、グループ会社も含まれます。適切な手順で正しい運用を行いましょう。