平成29年5月30日から全面的に施行される、改正個人情報保護法によって、すべての会社(事業者)が個人情報保護法の対象となります。
これまで、個人情報保護法は、適用対象をある程度以上の規模の会社に限定していたため、個人情報保護にそれほど関心のなかった経営者も、今後は個人情報保護によりセンシティブにならなければなりません。
しかし、改正法対応といっても、何から手を付けて良いかわからず、まだ社内での対応が思うように進んでいない会社も少なくないのではないでしょうか。
改正個人情報保護法の全面施行を直前に控え、対応を迫られている企業の経営者に向けて、対応のポイントを弁護士が解説します。
1. 個人情報保護法と、10年ぶりの改正
個人情報保護法は、氏名、住所、誕生日、電話番号など、「個人情報」を保有する団体に対して、個人情報の取り扱いについてのルールを定める法律です。
平成17年4月1日に全面施行され、このたび、約10年ぶりに改正されることとなりました。
この10年の間、情報の取り扱いは、著しい進歩をしました。インターネットやクラウドでの活用が進み、ビッグデータの利用などによって、「個人情報」の価値は、より高まっています。
情報通信技術の進歩をはじめとした、「個人情報」をとりまく環境の変化を反映して、今回改正された個人情報保護法への、会社としての必須の対応について、次に解説していきます。
2. 企業が対応すべき改正個人情報保護法の7つのポイント
平成29年5月30日より全面的に施行される改正個人情報保護法で、会社の経営者が対応しておかなければならない重要な点を、7つにまとめて解説します。
- 個人情報「5000人」以下の小規模な会社も対象になる。
- 個人データを第三者提供するときの手続
- 個人データの第三者提供を受けるときの手続
- オプトアウトの厳格化
- 個人情報提供のグローバル化への対応
- 「個人情報」の定義の変更
- 「要配慮個人情報」
以下で、個人情報保護法改正の7つのポイントについて、会社として、経営者としての適切な対応をするための知識を解説していきます。
2.1. 小規模な会社も対象になる
これまでの個人情報保護法では、「小規模事業者」は、対象とはされていませんでした。
具体的には、「5000人」を超える個人情報を保有している会社だけが、個人情報保護法の対象でした。
今回の平成29年5月30日に施行される改正個人情報保護法では、個人情報が5000人以下の会社も対象となることになり、小規模な会社であっても、個人情報についての法律ルールを守って対応する必要が出てきます。
2.2. 個人データを第三者提供するときの手続
平成29年5月30日に施行される改正個人情報保護法によって、企業が、個人データを第三者に提供するときに、その提供の記録を作成することが義務付けられることとなりました。
保存期間は原則として、「作成から3年間」ですが、本人が個人データを提供した場合などには、この義務はありません。
記録する事項は、次のように法律に定められています。
- 個人データの提供先の氏名又は名称その他の第三者を特定するに足りる事項
- 本人(個人情報の主体、以下同)の氏名又は名称その他の本人を特定するに足りる事項
- 個人データの項目
- 本人の同意を得ている旨
- 上記1~3
- 個人データを提供した年月日
2.3. 個人データの第三者提供を受けるときの手続
改正個人情報保護法によって、既に解説した「第三者提供をする側」だけでなく、第三者から個人データの提供を受ける側においても、確認、記録が義務付けられることとなりました。
確認しておかなければならない情報は、次のとおりです。
- 氏名または名称
- 住所
- 代表者の氏名
- 提供を受ける個人データの取得経緯
改正個人情報保護法の施行後は、第三者提供を受ける会社は、これらの情報について、書面の提示を求める必要があります。
また、第三者提供をする側の会社と同様に、次の事項について、記録の作成が必要となります。
- 第三者の氏名又は名称
- 第三者の住所
- 第三者の代表者名
- 第三者による取得の経緯
- 個人データによって識別される本人の氏名その他の本人を特定するに足りる事項
- 個人データの項目
- 本人の同意がある旨
- 上記1~6
- 個人データの提供を受けた年月日
- 個人情報保護委員会からオプトアウト手続の届出が公表されている旨
2.4. オプトアウトの厳格化
個人情報を第三者に提供するとき、その個人情報の持ち主が、第三者提供をストップすることができる制度を「オプトアウト」といいます。
今回の改正個人情報保護法により、この「オプトアウト」のルールに新たな規制がなされ、厳格化されました。
改正個人情報保護法が施行された後は、「オプトアウト」を利用するためには、個人情報保護委員会へ届出をしなければならなくなりました。
今まで通り、なにも準備をしていない状態では、「本人に通知しているから。」という理由で個人情報を提供することができなくなりましたので、注意が必要です。
2.5. グローバル化への対応
情報通信技術が進化したことによって、個人情報保護法が制定された当初より、個人情報がグローバルに利用、活用されるケースが増加しています。
そこで、改正個人情報保護法においては、外国にある第三者に対して個人データを提供するケースを想定して、新たな規制が設けられることとなりました。
2.6. 「個人情報」の定義の変更
個人情報の定義が、より詳細かつ具体的に変更されました。
「個人識別符号」という新たな考え方が作られ、個人情報保護法が制定された以降にあらたに利用、活用の幅が広がった、次のような情報について「個人情報」にあたることが明確化されました。
- 特定の個人の身体の一部の特徴によって本人認証が可能な情報
:指紋、掌紋、虹彩、DNAデータ - 役務の利用や書類において対象者ごとに割り振られる符号
:免許証番号、旅券(パスポート)番号、住民票コード、基礎年金番号、マイナンバー
2.7. 「要配慮個人情報」
改正個人情報保護法は、個人情報によって不当な差別や偏見の対象とならないよう、特に配慮することが必要な個人情報を、「要配慮個人情報」として、より手厚い保護の対象としました。
「要配慮個人情報」とは、心身の機能障害や健康診断結果、刑事事件に関する手続きなど、差別や偏見の対象となりやすい一定の情報が定められています。
「要配慮個人情報」の取得については、法令の定めによって取得する場合以外には、本人の同意が必須となります。
3. 改正法対応の初歩!
改正個人情報保護法を守るために、何から手を付けて良いのかわからない、という会社の経営者に向けて、改正法対応の初歩についてまとめてみました。
まずは、次のような初歩的対応からはじめて、法令順守を目指しましょう。改正法により適切に対応したい経営者の方は、企業法務を得意とする弁護士にお気軽に法律相談ください。
3.1. 従業員教育
「個人情報保護法」という法律の名前は有名でも、2017年(平成29年)改正の内容はもちろんのこと、今回改正法が施行されることすら、知らない従業員(社員)も少なくないはずです。
個人情報保護法の改正によって、どのような法律のルールを守らなければならなくなるのか、従業員に教育し、個人情報に対する意識を向上させることが、改正法対応の第一歩となります。
個人情報の流出の理由の、非常に大きなものとして、「従業員からの漏洩」という人的リスクが相当な割合を占めるともいわれています。
3.2. セキュリティ対策の構築
次に、個人情報の流出、漏洩を、技術面から予防するために、設備面の強化が重要となります。
例えば、御社の保有している情報資産を洗い出し、それぞれの情報について、流出ルートの可能性を洗い出し、セキュリティ面の対策を立てることです。
3.3. 社内の規程類の作成
会社内で、個人情報保護の取り扱いを徹底するためには、「ルール作り」が必要となります。
個人情報の保護は、社内全体に適用されるものであって、正社員、契約社員であってもパート、アルバイトであっても、等しく適用されるものです。
そのため、「就業規則」や社内マニュアルの形で、御社の個人情報保護の方針を示し、全社的に周知徹底を図る必要があります。
4. まとめ
平成29年5月30日の、個人情報保護法の全面施行が、目前に迫っています。
まだ、何も対応を検討していない経営者の方は、企業法務を得意とする弁護士へ、お気軽に法律相談ください。
マイナンバー制度の開始からはじまり、企業がますます個人情報を保有するようになり、セキュリティ対策の強化が求められています。
個人情報を少しでも保有している会社にとって、ひとたび情報漏えいトラブルが起こってしまえば、企業イメージの低下は避けられず、経営にも大きな悪影響を及ぼします。
