IT法務

個人情報保護法の改正で中小企業はどのような対策が必要?

個人情報, IT法務

[公開日] 2017年4月11日

[更新日]

Group of attractive entrepreneurs in meeting

平成15年に交付、平成17年4月に施行された個人情報保護法。これによって、企業の従業員や顧客の個人情報に関する対応は大きく変化しました。当時、多くの企業がこれに対応を迫られたことと思います。

そして、今年、平成29年5月30日には、個人情報保護法について、大改正が行なわれ、新しい改正個人情報保護法が施行されることになります。

なお、この記事で解説する改正法の規定により、3年ごと見直しとして2020年にさらに改正法が成立しました。
この最新の改正内容についてはこちらの記事で解説しています。
【関連記事】2020年改正個人情報保護法を徹底解説|改正の重要ポイントは?

一番の大きな違いは、これまでは適用除外であった中小企業などの小規模事業主も適用されることになる点です。これまで対応する必要がなかった小さな会社もしっかりとした整備を行わなくてはいけません。実際、今対応に追われている人事部・法務部の方も多いはず。そこで今回は、改正法の概要と中小企業の具体的な対応策を考えていきたいと思います。

個人情報保護法の改正の概要

今回、改正されるのは小さな変更点には止まりません。大改正といっても過言ではないほど全面的に改正が行われているため、先に、変更点の概観をみておきましょう。まず、今回の改正で一番の注目ポイントは「5000人要件の削除」です。中小企業などの小規模の事業者も規制対象になるため、早急に対応を迫られることになります。

これ以外にも、「個人情報」の内容の追加、要配慮個人情報の取り扱い、第三者提供時の確認・記録義務の追加、オプトアウト手続きの厳格規制、第三者から受け取る場合の確認・記録義務の追加、外国にいる第三者に渡すときのルールの整備、など改正範囲は多岐に渡ります。

これまで対応していなかった中小企業にとっては、実際具体的にどう対応すれば良いのかが問題となります。以下、具体的にみていきましょう。

大きな改正点を理解しよう。適用範囲の拡大・変更あり

まずは、大きな改正点から内容をチェックしていきましょう。

5000人要件の削除

どんな改正?

改正前の個人情報保護法2条3項5号では、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」については、「除く」としています。そして、施行令2条では、この個人の権利利益を害するおそれが少ないもの」として、「個人情報によって識別される特定の個人の数」が「五千を超えない者」と規定していました。

本来であれば、プライバシー保護の観点から個人情報は厳格に保管されるべきであり、数に関係なく規制すべきことでしたが、中小企業など管理業務の負担への配慮から設けられた特例でした。もっとも、今回、個人情報保護法施行から10年以上経っていること、小さな企業でも個人情報保護の必要性が高まっていることからこの5000人という要件が削除されることになりました。

このように、これまで関係なかった小規模の事業者も個人情報保護法に合わせた規則の整備をする必要があります。

中小企業の対応ポイントは?

実際の対応としては、これまで大企業のみが行ってきた個人情報保護法を遵守するための基本方針の策定などをする必要があります。例えば、以下のような対策が考えられます。

  • 個人情報の取り扱いの基本的ルールを定める
  • 個人情報保護法に関して従業員教育する
  • 関係者以外が個人情報を閲覧できないようにする
  • PCで個人情報を管理する場合は、セキュリティ対策ソフトウェアを導入する

このように、まずは、どんな規模の事業主でも個人情報保護法が適用されること、同法を遵守するため、会社内で個人情報保護の基本的ルールやガイドラインを定めることが必要となります。まずは、法律遵守のためのルール作りからはじめるのが安全対策として適切でしょう。

個人情報保護の定義の改正

「個人情報」とは、個人を特定できる情報

個人情報保護法では、まず「個人情報」とは何かについて規定されています。

法2条1項1号では、個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」としています。

つまり、住所や氏名、生年月日の単体の情報だけではなく、これに付随して個人を特定できるものでなければいけないということです。例えば、生年月日だけ保管していても、すぐに誰の誕生日かはわかりません。これは情報単体になるので、個人情報の概念には含まれません。また、死者の情報も含まれない点も注意すべきポイントです。

 「個人識別符号」が追加

もっとも、今回の改正では、「個人識別符号」(改正法2条1項2号)という言葉が新たに定義されることになりました。

個人識別符号とは、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」と規定されています。つまり、個人情報を特定できるような番号のことです。例えば、マイナンバーや住民コード、パスポート番号、免許証番号なども含まれます。

今回の改正で「個人識別符号」が個人情報に含まれると規定されたことで、一番変わったことは情報単体でも保護すべき個人情報にあたるとされたことです。

これまで個人情報の概念は緩やかに規定されていたのですが、今回の改正で曖昧だった部分が少しはっきりすることになりました。情報単体でも、個人が識別できる番号はセキュリティ管理が必要であることを忘れないでおきましょう。

中小企業のための個人情報保護法の基本ルールと改正点

改正

ここでは、これから対策を導入する中小企業向けに個人情報保護法の基本的ルールをご説明します。そして、基本ルールを理解した上で、改正点があれば、その都度詳しく解説していきたいと思います。

取得・利用時のルール

基本ルール

まず、個人情報を取得・利用する際のルールを理解していきましょう。

個人情報を取得した場合は、その目的を本人に通知、または公表することが必要となります(法15条1項)。

取得目的については、具体的に特定して通知してください。また、特定した目的は公表し、あらかじめ公表していない場合には、本人に通知または、公表してください。

取得した情報に関しては、利用目的の範囲内でのみ利用可能です(法16条1項)。簡単にいうと、配送するために住所を提供してもらった場合、ダイレクトメールを送る際に利用してはいけません。利用する場合は、あらかじめ利用目的に組み込んでおく必要があります。また、取得後に個人情報を他の目的に利用する場合は、本人の同意が必要です。

個人情報取得の際の改正点:要配慮個人情報

今回の改正で、個人情報取得の際に気をつけるべき内容として、要配慮個人情報の規定が挙げられます。改正法2条3項では、要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と規定しています。

上述した情報は、勝手に他人には知られなくない情報であるため、差別などの不当な扱いを防止するという目的があります。

改正点も含めた対応のポイントまとめ

  • 個人情報を取得する際は、目的を決めて本人に伝えること
  • 取得した個人情報は目的外に利用しない。
  • 要配慮個人情報にあたる場合は本人の同意を得ること

保管時のルール

次に、保管する際のルールをみていきましょう。

個人情報は法令を遵守し適切に取得しても、管理がおろそかであってはいけません。安全に管理するための措置を決めておきましょう。

例えば、

  1. 個人情報をまとめた紙の情報は鍵のかかった引き出し保管する
  2. PC内で保管している場合はパスワードを設定する
  3. 顧客情報を管理するPCにはウイルス対策ソフトを導入する

などが有効です。

このほかにも、常に最新の内容に更新する必要があります。また、必要がなくなった場合は消去するようにしましょう。個人情報の流出を防ぐ事ができます。

そして、その上で、しっかりと監督することが必要です。社員教育で、個人情報を私的に使ったり、口外したりしないように研修などを設けると安全対策としては万全といえるでしょう。

最後に、個人情報の管理の委託を依頼する場合、依頼先をしっかりと監督するようにしてください。任せっぱなしではなく、個人情報が適切に管理されているのか報告を受けるようにするのが大切です。

第三者に提供する際のルール

では、次に第三者に提供する際のルールをチェックしていきましょう。

原則同意が必要

現行法23条1項は、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と規定しています。

  1. 本人の求めに応じての本人のデータ提供を停止できるようにする
  2. 1を本人が容易に知ることができるよう状態にしておく
    (ex. ホームページに以下を掲載する。①第三者提供を利用目的としていること、②提供される個人データの項目、③提供の方法、④本人の求めに応じて提供を停止すること、⑤本人の求めを受け付ける方法 )
  3. 本人に通知した事項を個人情報保護委員会に届け出る。(改正点)

以上が基本ルールです。次に今回の改正で注目すべき点を理解していきましょう。

開示を求められたときのルール

最後に、開示に関するルールについても理解しておきましょう。

まず、以下の項目について、ホームページに公表するなど、本人の知りうる状態におきましょう。これによって、本人の求めに応じて遅滞なく対応することができます。

①事業主名称
②利用目的
③請求手続きの方法
④苦情の申出先
⑤認定個人情報保護団体に加入している場合
⑥当該団体の名称及び苦情の申出先

次に、本人から請求があった場合は、個人情報を開示・訂正・利用停止などの措置をとりましょう(改正法25条など)。もっとも、開示提供が義務付けられるのは、「保有個人データ」です。

「保有個人データ」とは、事業主に開示権限のあるデータで6ヶ月以内に消去するもの以外を指します。他の事業者から編集作業のみを委託されデータを渡された場合などは保有個人データにはあたりません。

最後に、個人情報の取り扱いに関し、苦情を受けたときは迅速に対応することも重要です。個人情報保護法にのっとり、適切な開示提供を行うようにしましょう。

万全の対策を検討する際は、弁護士にご相談を

これまで適用の対象となっていなかった中小企業などの小規模事業主は、現在対応に迫られていることと思います。これまで全く対策をされていなかった会社では、基本方針の策定から、細かい規則まで作成するのは大変です。法務部や人事部などで個人情報保護法に対応するマニュアルを策定しても本当に対策として万全であるのか懸念されるケースも多くあります。

実際に作成された場合は、最後に専門家にチェックしてもらった法が安全といえるでしょう。また、これからという企業では、一から専門家に任せてしまう方法もあります。個人情報保護法改正で気になる点がある方は、ぜひ法律の専門家である弁護士に相談を。

誹謗中傷に強い弁護士が無料相談いたします

ネット誹謗中傷で悩まれている方は、今すぐ弁護士にご相談ください。書き込みの削除、犯人の特定が可能性があります。

  1. 匿名掲示板に個人情報、名誉毀損の書き込みされた
  2. SNS/ブログなどで誹謗中傷をされている
  3. 会社(法人)/お店の悪い評判が書かれ風評被害を受けている
  4. 書き込み犯人を特定したい
  5. 名誉毀損の慰謝料請求、損害賠償請求をお任せしたい

ネット誹謗中傷に強い弁護士に無料相談することで、解決できる可能性があります。弁護士に任せて頂ければ、被害者の方は平安な生活を取り戻すことができます。

1つでも当てはまる方は1人で悩まず、今すぐ弁護士に相談しましょう。

【東京都・中央区】
弁護士法人YMP

弁護士法人YMPでは「発信者(犯人)の特定」を得意としております! 爆サイ、ホスラブ、5ch、2ch、たぬき、各種ブログ、口コミサイト、SNS等の誹謗中傷にお困りでしたら、お気軽ににご相談下さい!

弁護士法人YMPでは「発信者(犯人)の特定」を得意としております! 爆サイ、ホスラブ、5ch、2ch、たぬき、各種ブログ、口コミサイト、SNS等の誹謗中傷にお困りでしたら、お気軽ににご相談下さい!

弁護士法人YMPは、爆サイ、ホスラブ、5ch、2ch、たぬき等をはじめとする掲示板のネット誹謗中傷問題の解決を得意としております。ネット投稿の削除も得意としておりますが、再発防止の効果も見込め、被害の抜本的解決ができる「発信者(犯人)の特定」により注力して、ご相談者様の悩める心情に寄り添いながら、解決に向かって迅速に業務を遂行してまいります。
お電話でのお問い合わせはこちら
050-5267-6228
[電話受付]平日 9:00~21:00 土日祝 9:00~18:00
電話で相談する 弁護士詳細情報はこちら 弁護士詳細情報はこちら
都道府県から誹謗中傷に強い弁護士を探す

あなたへおすすめの記事