個人情報保護法(個人情報の保護に関する法律)が、改正されました。
来年(2017年)の春頃に、施行される予定です。
改正前は、法律上の義務が課されていない中小企業も数多くありました。
しかし、改正後は、そのような中小企業の大半にも、法律の義務が課される見込みです。
中小企業においても、来年の春頃までに、法改正への対応が必要になってきます。
とは言っても、中小企業のみなさんの中には、
「そもそも、改正される前の法律のこともよく知らないよ」
という方も多いのではないでしょうか。
そこで、このコラムでは、そんなみなさんのために、
・いまの(改正前の)個人情報保護法が企業に何を求めているのか、
・それが法改正でどう変わるのか、
とりあえずのポイントを、Q&A形式でお伝えしたいと思います。
(※ なおコラムの性質上、条文の引用は略しました。細かい点については末尾の注釈もご参照ください)
【Q1】
うちは従業員5人の小さな会社ですが、うちのような会社でも法改正への対応が必要ですか?
【A1】
対応が必要になる可能性は、非常に高いです。
そもそも改正前から、従業員の人数にかかわらず、多量の個人情報を事業で取り扱っている会社には、法律の義務が課されていました。
そして、改正後は、取り扱う個人情報の量にかかわりなく、法律上の義務が課されるようになります。
【解説】
改正前は、5000人分以下の個人情報しか取り扱っていないような事業者には、個人情報保護法上の義務が課されていませんでした(注1)。
しかし、今回の改正によって、従業員が数人だけの小さな会社にも、法律の義務が課される可能性が高まります(注2)。
そのため、あなたの会社でも、個人情報保護法への対応が必要になってくるでしょう。
まずは、このことを念頭においたうえで、以下のQをご覧ください。
【Q2】
「個人情報」とは、氏名のことですか? 名刺や顧客名簿のようなものをイメージしていましたが。
【A2】
間違いではありませんが、「特定の個人を識別できる情報」と覚えてもらえるとより正確です。
名刺や顧客名簿は、個人情報に該当する可能性が高いですね。
【解説】
法律にいう「個人情報」の定義は、以下のとおりです
(改正前のものですが、改正後も本質は変わりません)。
(1) 生存する個人に関する情報であって、
(2) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの
(3) この(2)についてさらに補足すると、その情報単独では特定の個人を識別できなくても、他の情報と容易に照合でき、それによって特定の個人を識別できるようになるものも含まれます
たとえば、名刺に○○さんの氏名が書かれている場合、(○○さんが生きていれば)その名刺は「個人情報」になります。
また、会社があるお客様の顧客番号として「A123」という番号をつけた場合を考えてみましょう。
知らない人がこの「A123」の番号だけ見ても、誰のことなのかサッパリわかりません。
しかし、社内に顧客名簿があって、「A123=△△さん」とかんたんに照合できてしまう場合は、「A123」という番号も、その会社にとっては「個人情報」になります。
中小企業でよくみられる「個人情報」としては、従業員情報や、顧客情報、取引先社員の情報が多いでしょうね。
なお改正後は、「個人識別符号」という新しい概念ができました。
たとえば
マイナンバーや、
基礎年金番号、
健康保険証の番号
などがこの「個人識別符号」になります。
これらの個人識別符号が含まれるものも「個人情報」に該当します。
中小企業でも、基礎年金番号などの個人識別符号を従業員から取得しているケースは多いでしょう。
法改正を1つのきっかけにして、その利用目的や取扱いを、改めて社内で確認してください。
【Q3】
個人情報を取得するにはどうすればいいですか? 本人から毎回、同意をもらわなければいけませんか?
【A3】
個人情報を取得する際には、本人の同意は不要です。
ただし、個人情報の「利用目的」を特定したうえで、本人が利用目的を把握できるように、「公表」したり「通知」しなければいけません。
なお改正後は、病歴などの「要配慮個人情報」を取得するには、原則として本人の事前同意が必要になります。
【解説】
個人情報は、必ずしも本人の同意を得なくとも、取得することができます。
ただし、ポイントが2つあります。
1つ目のポイントとして、個人情報は「利用目的」を定めて、その目的の範囲内で取り扱わなければいけません。
いわば、個人情報は、「利用目的」とワンセットになっています。
企業が無制限に使えるわけではありません。
まず、個人情報の利用目的は、できる限り特定しなければいけません。
たとえば、
「事業活動に用いるため」
「マーケティング活動に用いるため」
といった記載では、特定したものとはいえません。
できる限り利用目的を特定するためには、
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため」
などと書く必要があります(注3)。
次に2つ目のポイントとして、その利用目的は、本人が把握できるように示す必要があります
利用目的は、「あらかじめ公表」しておくか、取得後に速やかに「公表」するか、または速やかに「本人に通知」しなければいけません。
また、本人から直接書面で取得するような場合には、あらかじめ利用目的を「明示」する必要があります。
要するに、本人からみたときに、自分の個人情報が企業でどのように使われるのかを、確かめられるように示しておかなければいけないということです。
なお、改正後には、病歴などの情報は、「要配慮個人情報」として、取り扱い方が変わります。
要配慮個人情報は、不当な差別や偏見につながりうる情報です。
そのため、取得するためには原則として、本人の事前同意が必要になってきます。
(ただし、本人が急病で、医師が家族から本人の病歴を聞かなければいけない場合などのように、例外的に同意が不要なケースもあります)
【Q4】
個人情報はどのように管理すればよいですか? 近ごろ、漏えい事件が多いので気になっています。
【A4】
ごく簡単にいうと、個人情報を取り扱える担当者を絞って、他の人たちが取り扱えないようにして、鍵やウイルスソフトなどでセキュリティを高めましょう。
【解説】
一口に個人情報といっても、様々です。
個人情報をどのように管理するかは、業種や、会社の大きさによって、ある程度変わってきます。
たとえば、深刻な病気に感染していることや、個人の資産額などの秘匿性の高い情報は、漏えいしたら一大事です。
医療機関や金融機関においては、厳重な管理が必要になってくるでしょう。
他方で、たとえば私が近所のコンビニでコーヒーを買ったことは、(あくまで私にとっては)それほど重大な情報ではありません。
そのため、個人情報をどのように管理すべきかという措置のレベルには、ある程度幅があります。
ここでは中小企業むけに、ごく一般的な措置だけをお伝えしましょう。
たとえば、最近発表された、個人情報保護委員会のガイドライン(案)では、中小規模事業者における措置の例として、以下を挙げています(注4)。
・個人データの取得、利用、保存等を行う場合の基本的な取扱い方法を整備する
・個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分して、取扱いについて責任ある立場の者が確認する
・個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う
・個人データが記録された電子媒体または個人データが記録された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる
・個人データを取り扱うことのできる機器および当該機器を取り扱う従業者を明確にし、個人データへの不要なアクセスを防止する
いかがでしょう?
みなさんの会社では、このような措置を十分にとれていますか?
各種調査によると、情報漏えい事件は従業員の"うっかりミス"で起こることも多いので、そのようなトラブルを防ぐことも視野にいれて、事前の対策を進めてください。
【Q5】
お客様に商品を発送したいので、宅配業者にお客様の氏名や住所などの情報を渡す必要がありますが、お客様の同意が必要ですか?
【A5】
この場合は、法的にはお客様(本人)の同意は不要です。
【解説】
他の会社など(第三者)に、個人データを渡す(提供する)ときは、原則としては本人の事前同意が必要になります(注5)。
ただし、いくつか例外があります。
その1つは、個人データの取扱いを「委託」する場合です。
たとえば、
・データの打ち込みなどの情報処理を業者に依頼する場合
・商品の配送を宅配業者に依頼するような場合
は、「委託」する場合にあたります。
このような場合は、法律上は、本人の同意は不要とされています。
ただしその代わりに、委託した会社は、その委託先のことを「監督」しなければいけませんのでご注意ください。
【Q6】
名簿業者から名簿を買うのは違法なんですか?
【A6】
違法ではありませんが、明らかに不審な業者や個人からの購入は、法的な意味でも避けておきましょう。
なお改正後は、名簿を購入する際に、原則として相手の情報を記録しなければいけません。
【解説】
2014年の夏、子ども向けの教育事業を行う大企業で、大規模な個人情報漏えい事件が発生しました。
この事件を機に、子どもの氏名や住所などの情報が、名簿業者を介して流通している実態が広く知られるようになり、名簿業者への非難の声も聞かれました。
もっとも、今回の法改正で、名簿業者が一般的に取り締まられたり、名簿業者から名簿を買うこと自体が違法になったわけではありません。
あなたの会社が、名簿を購入することも禁止されていません。
ただし、事業者が、「偽りその他不正の手段により」個人情報を取得することは、もともと法律で禁じられています。
たとえば、買おうとした名簿が、不正アクセスなどの違法行為によって得られた内容であることが明らかな場合には、そうと知りながらその名簿を購入するような場合も違法と考えられています。
そのため、出所があやしい名簿は購入を避けるようにしましょう。
また、改正後は、一定の場合には購入履歴(名簿業者の名前や、名簿業者がその名簿を取得した経緯など)の記録を残すことが義務づけられました。
これは、たとえば情報漏えい事件が起こったときなどに、行政(個人情報保護委員会)が、あとから名簿の購入履歴を順番に追跡できるようにするための記録です。
トレーサビリティの規定などと言われています。
【Q7】
個人情報保護法に違反したらどうなりますか? 罰金などはありますか?
【A7】
いきなり罰金になるわけではなく、まずは行政からの監督の対象になります。
行政からの命令に反した場合には、懲役刑や罰金になる場合があります。
なお改正後は、個人情報データベース等不正提供罪が新たにできましたので、いきなり懲役刑や罰金に処せられるケースもでてくるでしょう。
【解説】
個人情報保護法の義務に違反したとき、たしかに法的には違法です。
ただ、だからと言って改正前の個人情報保護法では、いきなり罰金刑などが生じるわけではありません(不正競争防止法など、別の法律が適用される場合はあります)。
まずは、あなたの会社を管轄する主務大臣(各省庁。改正後は、個人情報保護委員会)からの監督の対象になります。
つまり、まずは行政から報告を求められたり、命令が下されたりするわけです。
この行政からの命令にさらに違反したら、そこで懲役や罰金の対象となる、という手順です。
もっとも最近では、情報漏えい事件にみられるように、法的なペナルティよりもむしろ、報道などを通じてまず企業の評判が下がってしまうケースが見られます。
そのため、法的なリスクだけでなく、このような評判リスク(レピュテーションリスク)にも十分にご注意ください。
以上、個人情報保護法について、エッセンスの部分だけではありますが、お伝えしてきました。
2017年の春頃の施行にむけて、中小企業のみなさんが知っておくべきことはまだまだ沢山あります。
当事務所のコラムでは、今後もさらに、個人情報保護法の注意点をわかりやすくお届けしたいと思います。
【関連コラム】
・GDPRに関する個人情報保護委員会ガイドラインの「方向性」
・プライバシーポリシーの記載事項(個人情報保護法の改正をふまえて)
・耳の形であなたを識別する -バイオメトリクス(生体情報)と個人情報保護法-
【注釈】
(注1)
正確には、過去6ヶ月以内のいずれの時点でも、取り扱う個人情報の数が5000人分以下の事業者については、改正前は法律上の義務が課されていませんでした。
(注2)
正確には、法律上の義務が課されるのは、法律上の「個人情報取扱事業者」だけです。
この「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。
そして、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるように体系的に構成したものを指します。
たとえば、
・パソコンのソフトに入力した名簿や、
・氏名を検索できるように並べられた名簿
などは、特定の個人を検索できるため、この「個人情報データベース等」に該当します。
今や、ほとんどの会社は、パソコンのソフトで従業員名簿や顧客名簿を作っていますし、そうでない会社でも氏名を検索できるような紙の名簿をつくっているものです。
そのため、実際問題としては、世の中のほとんどの事業者が「個人情報取扱事業者」に該当して、法律の義務が課されるものと思われます。
(注3)
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成26年12月12日厚生労働省・経済産業省告示第4号)」16pや、「個人情報保護法ガイドライン(通則編)(案)」26pを参照。
(注4)
「個人情報保護法ガイドライン(通則編)(案)」86p以下を参照。
中小規模事業者において、「円滑にその義務を履行できるよう、少なくとも必要であると考えられる手法の例」が挙げられています。
なお、ここで「中小規模事業者」とされている事業者は、従業員(労働基準法第20条の労働者のこと)が100人以下の個人情報取扱事業者をいいます。
ただし、
(1) 過去6か月以内のいずれかの日において、事業の用に供する個人情報データベース等を構成する個人情報が合計5000人分を超えたことがある者と、
(2) 委託を受けて個人データを取り扱う者は、
この「中小規模事業者」には含まれません。
(注5)
個人データとは、(注2)で書いた「個人情報データベース等」を構成する個人情報をいいます。
細かいですが、法律上は、「個人情報」「個人データ」「保有個人データ」の用語がすべて使い分けられていますので、法律を読む際はご注意ください。