法・制度改正/本日完全施行!「改正個人情報保護法」個人・小規模事業者も今日から適用対象
取引先との会話にも注意が必要に!?

すべての事業者が改正個人情報保護法の対象

本日、5月30日――改正個人情報保護法が完全施行されます。技術の進化により指紋やDNAといった個人に関わる新たな情報の登場、ビッグデータによる個人データの活用、さらに頻発する漏えい事件など、個人情報を取り巻く環境変化を受けて、同法は大きく改正されました。

個人情報が「匿名加工情報」として事業に使いやすくなる一方で、対象事業者の拡大や情報漏えいに対する罰則が強化。事業者の監視権限がマイナンバー制度と同じ個人情報保護委員会に一元化されるなど、様々な改正点が挙げられますが、最大の改正ポイントは「取り扱う個人情報の件数が5000人以下の事業者も法律の適用対象となる」ことではないでしょうか。

●主な改正ポイント。経済産業省資料より抜粋

従来法では、「個人情報の保有件数が5000件以下の場合は個人の権利や利益を害するおそれが少ないとして法律の適用外」と定義されていましたが、改正法ではこれが撤廃されました。

適用対象は、法人に限定されず営利か非営利かも関係ありません。顧客や会員名簿、従業員名簿などで1件でも個人情報を取り扱う場合、法人や個人事業主、NPO、自治会、PTAなどほぼすべての事業者と組織は改正法に従って適切に個人情報を扱わねばならないわけです。

●改正法では、従来法で定義されていた「5000人を超えない者は対象外」とされた項目が削除された。経済産業資料より抜粋

また、改正法では個人情報の定義が明確化されたことも、しっかりとチェックしておくべきでしょう。従来通り氏名や住所、生年月日などはもちろん、DNAや指紋、虹彩、顔認識データなどの生体情報、パスポート番号や運転免許証番号といった社会番号などの「個人識別符号」も個人情報として定義されています。

●改正法では、新たに「個人識別符号」が個人情報として類型化された。経済産業資料より抜粋
●個人識別符号とは、個人の特定につながる生体データや社会番号のこと。経済産業資料より抜粋

さらに、法律では「要配慮個人情報」として、人種や信条、病歴、前科などの他、身体の障害や健康診断の結果なども個人情報として定義されています。

●要配慮個人情報の概要。経済産業資料より抜粋

休みの理由も個人情報!?

詳細は他に譲りますが、こうした個人情報については、取得や利用、保管、提供に際して本人への通知や公表、同意などが求められます。このため、これまで気軽にやっていたことにも、注意が必要になるケースがありそうです。

例えば、ビジネスでこんな経験はないでしょうか。営業や商談などで一緒に取引先へ行くはずだった同僚が急病で休んだ時、あるいは取引先からの電話で担当者が休みだった場合、休みの理由を話す、あるいは逆の立場で休みの理由を尋ねたりしたことはありませんか。

「あれ、〇〇さんは?」「今日は〇〇も同行するはずでしたが、急病で休みなんですよ」「どうされたんですか」「ノロウイルスだそうです」――そう多くはないですが、親しい間柄の場合など心配からつい話したり尋ねたりといった場面を個人的にも何度か見たことがあります。

ノロウイルスになったという情報は、要配慮個人情報に相当する可能性があるとのこと。ですので、改正法に従えば同僚の同意を得た上で取引先に伝える必要があり、取引先も同意を得た上でノロウイルスにり患しているという情報を取得しなければなりません。

実際には、ノロウイルスと伝えたことで同僚が法律違反だなどと怒ることはないでしょうし、法律により罰せられるわけでもありません。とはいえ、法律で規定されている以上は、少し気を配る必要はありそうです。

なお、改正個人情報保護については、SHANIMU本誌57号で従来制度からの変更点を中心にまとめた解説記事を掲載。さらに、最新号となる59号(2017年5月31日発行)では小規模事業者などを中心に新たに同法が適用される事業者が最低限確認すべきチェックポイントを解説しています。参考にしてください。(長谷川丈一)