中小企業、小規模事業者、個人事業主への適用がスタート法・制度改正 5月30日施行
「改正個人情報保護法」

概要

必須のチェックポイントはこれだ!!

本誌59号の発行前日、2017年5月30日に改正「個人情報保護法」が施行された。

最大の改正ポイントは、個人情報を扱うすべての事業者や組織などが同保護法の適用対象となったこと。これにより、中小企業や小規模事業者、個人事業主も法律に規定されたルールに従って、適正に個人情報を利用しなければならない。

そこで、今号では新しく適用対象となった事業者が守るべき最低限のルールについて解説していこう。

前段で述べた通り、個人情報の取り扱いと規律を定めた「個人情報の保護に関する法律(個人情報保護法)」が改正され、2017年5月30日に施行された。5001件以上という件数要件が撤廃され、個人情報を扱うすべての事業者などが同法の適用を受けることとなった。

適用対象は法人や営利などに限定されず、顧客や社員データ、会員名簿といった個人情報を扱う以上、中小企業/小規模事業者/個人事業主/学校/PTA/自治会など、ほぼすべての事業者や組織は規定に従って個人情報を扱わなければならない。

対策は万全だろうか。最低限チェックしなければならないポイントを見ていく。

個人情報とは

最初に確認しておきたいポイントは、そもそも「個人情報」とは何かということ。改正個人情報保護法では表1のように定義されている。

大きくは、「特定個人を識別できる情報」と「個人識別符号」、さらに「要配慮個人情報」など。特定の個人を識別できる情報では、氏名や生年月日などに加えて、例えば携帯電話番号やメールアドレスなども対象となる。それ単体では個人情報とは定義されていないが、氏名などと結びつけば個人を特定できるからだ。

個人識別符号は、その情報だけで特定の個人を識別できるもの。「生体情報(DNAや指紋データなど)」と「社会番号(パスポートや基礎年金番号など)」が該当する。

また、人種や信条、病歴、前科などの他、身体の障害や健康診断の結果といった情報は「要配慮個人情報」とされ、後述するように他よりも一段高いルールが適用される。

これら個人情報を「個人の権利と利益を保護しながら、事業者が有効に使える」ことを目的とした法律が個人情報保護法である。同法の下に政令や規則が定められているが、多岐にわたり複雑だ。このため、個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン」をまとめている。

とはいえ、新しく適用対象となった事業者や組織などには、それでも難しい。いずれは同ガイドラインに目を通す必要はあるが、まずは最低限の対策を講じなければならない。

そこで、個人情報保護法の全体像を簡潔に示したのが図1であり、中核要素として適用事業者が必ず守らなければならない5つの基本項目が表2である。以下、各項目を詳しく見ていくことにしよう。

■表1 改正「個人情報保護法」に規定されている個人情報の定義

「個人情報」とは
・生存する個人の情報で、特定の個人を識別できる情報
(氏名や生年月日、他の情報との照合により容易に特定個人を識別できる情報など)
・生存する個人の情報で、個人識別符号が含まれるもの
※身体の一部の特徴を電子計算機のために変換した符号(DNA/顔/虹彩/声紋/歩行の態様/手指の静脈や指紋、掌紋など)
※サービス利用や書類で対象者ごとに割り振られる番号(旅券番号/基礎年金番号/免許証番号/住民票コード/マイナンバー/各種保険証など)
※要配慮個人情報(*1)
(人種/信条/社会的身分/病歴/犯罪歴や犯罪被害の事実など)

(*1)個人情報のうち不当な差別、偏見、その他の不利益が生じないよう取り扱いに配慮を要するもの
 

■図1 「個人情報」取扱いの全体イメージ


 

■表2 改正「個人情報保護法」の守るべき基本チェックポイント5項目

項目 概要
①個人情報の取得 個人情報を取得する場合、利用目的を特定し本人に通知するか、HPや店頭での掲示などにより公表しなければならない
②個人情報の利用 取得した個人情報は特定した目的の範囲内で利用し、それ以外のことに利用したい場合は本人の同意を得なければならない
③個人情報の保管 個人情報を検索できるように体系化(個人情報データベース等)した場合、安全に管理しなければならない
④個人情報の第三者提供 個人情報を他人(本人以外の第三者)に渡す場合、原則として本人の同意を得なければならない
⑤個人情報の開示 保有している個人情報について、本人から開示や訂正等を請求された場合、対応しなければならない

個人情報の取得と利用

まず、①個人情報の取得では「何に使うかという利用目的を明確にし、それを本人に伝える」ことが求められている。

利用目的は「具体的に特定することが望ましい」とされ、単なる業種の明示やサービスの向上といった抽象的な内容表記では目的を明確にしたことにはならない。例えば、「〇〇事業における商品発送、関連するアフターサービス、新商品の情報のお知らせに利用します」など、はっきりと分かるように特定することが必要だ。

特定した利用目的は個人情報取得時の記入用紙やWebでの入力画面に表示(通知)するか、ホームページや店頭などに掲示(公表)するなどして本人に伝える。例えば、サービス申込用紙や懸賞応募ハガキに記載された「個人情報の取扱い」は、本人通知の好例といえるだろう。

ただし、配送伝票への氏名や住所の記入、ビジネスでの名刺交換など取得の状況から利用目的が明らかなら本人へ知らせる必要はない。

なお、要配慮個人情報の取得については、利用目的の特定、通知または公表に加えて本人の「同意」が必要。同意とは承諾の意思表示で、書面による方法が好ましいが、口頭やメールでも問題ない。例外として、法令に基づく場合や人命に関わる場合(表3)、情報が公開されているようなケースでは同意は不要とされる。

取得した②個人情報の利用については、「特定した目的の範囲内で利用する」ことが義務づけられる。商品発送のために取得した氏名や住所を使って、自社商品を宣伝するDMを送ることはできないわけだ。

取得時に特定した目的以外の用途で個人情報を利用したい場合、本人の同意が必要(*1)。手間もコストもかかるため、将来的に想定される用途も考慮しながら、取得時の利用目的に盛り込むことが重要といえる。

なお、表3のケースに相当する場合は、特定した目的から外れた利用であっても本人同意はいらない。

また、改正法が施行される以前に取得した個人情報は、同じ用途で継続利用するならば改めて同意を得る必要はないが、目的を明確にして公表しておくことが望ましいという。

■表3 「利用目的の制限」や「第三者提供の同意」などの例外

項目
法令に基づく場合 ・警察の捜査、裁判所の令状に基づく捜査、税務署の調査、弁護士会からの照会など、法令に基づいて個人情報を取得・利用・提供する場合
人の生命・身体または
財産の保護に必要な場合
・人(法人含む)の生命や身体、財産などの具体的な利益や権利の保護が必要であり、本人の同意を得ることが困難である場合(急病人や事故者などの血液型や家族の連絡先を医師や看護師に伝えるといったケース)
公衆衛生・児童の
健全育成に必要な場合
・健康保険組合などが実施する健康診断などの結果を保健事業や調査に利用する場合
・児童生徒の不登校や不良行為などの情報を関係機関で共有する場合
・児童虐待の恐れのある家庭情報を児童相談所や学校などの関係機関で共有する場合
国の機関等へ
協力する場合
・事業者などが税務署職員などの任意調査に個人情報を提供する場合
・統計調査に協力する場合

個人情報の保管

③個人情報の保管は、紙や電子データを問わず特定の個人を検索できる個人データベース化した場合に求められる安全管理義務のこと。顧客情報や社員データは台帳やリストとして利用されるのが一般的なだけに、ほとんどの事業者が守らねばならないルールといえる。

端的にいえば、「個人情報の外部漏えいを防ぐために、必要かつ適切な対策によりデータベースを安全に管理しなさい」ということ。それを実現する方法として、「安全管理措置ガイドライン」が個人情報保護委員会により示されている。

表4は、従業員数100人以下と定義される小規模事業者(5001件以上の個人情報を扱う事業者や、委託を受けて個人情報を扱う事業者は除く)向けの安全管理措置ガイドラインの概要だ。基本的に、守らねばならない義務項目などは数万件の個人情報を取り扱う大企業とほぼ変わらない。

異なる点は、求められる安全管理のレベルといえる。例えば、「個人データを扱う区域の管理」について、大企業にはIC認証カードによる厳重なチェックが例示されているのに対し、小規模事業者は監視カメラで管理するといった具合だ。

これは、扱う件数が多いほど、万一に漏えいした場合の被害が大きいためだが、「件数だけでなく保有する個人情報の質も重要」(個人情報保護委員会)とのこと。

扱う個人情報の件数が同じ100件であったとしても、氏名とメールアドレスだけのデータと、住所や銀行口座、過去の購買履歴など様々な情報が紐づいている場合とでは、後者の方が漏えい時の被害の深刻度は大きくなる可能性が高い。例え件数が少なくとも保有情報の質が高い場合、しっかりとした安全対策が求められている。

いずれにせよ表4を参考に、早急に事業所内の個人情報をしっかりと守る体制構築が必要だ。

■表4 中小企業・小規模事業者向け安全管理措置ガイドライン

1. 基本方針の策定
この項目は義務ではないが、策定しておくことにより「4.人的安全管理措置」の従業者教育に役立つ

2. 個人データの取扱規定等の策定
個人データの取得・利用・保存などを行う場合の基本的な取扱規定を整備すること。既存の業務マニュアルやフローチャートなどに個人情報の取扱規定の項目を追加すると策定負担を軽減できる

安全管理措置 義務項目 手法例/対策例など
3. 組織的
安全管理措置
組織体制の整備 ・個人データを扱う従業者が複数いる場合、リスク分散の視点から責任者とその他の者を区別し、誰かがチェックできる体制を整える
規定等に従った運用 ・整備した規定の基本的な取扱方法に従い、個人データが扱われていることを責任者が確認する。業務日誌やチェックリストなど、既存の仕組みを活用する方法がスムーズ
取扱状況を確認する手段の整備
事故や違反への対処方法の整備 ・漏えいなどの事案発生に備えて、従業者から責任者への報告連絡体制を確認しておく。既存の業務報告体制に漏えい事案を盛り込むことにより整備負担を軽減できる
取扱状況の把握と見直し ・責任者が個人データの取扱状況について定期的に確認。上記4つのプロセスで気づいたリスクがあれば取扱方法などの改善に取り組む
4. 人的
安全管理措置
従業者の教育 ・個人データ取扱いの留意事項について従業者に対する定期的な研修を実施。集合研修に加え、朝礼などでも定期的に触れることで常に注意を喚起する
・個人データの機密保持に関する事項を就業規則などに盛り込む
5. 物理的
安全管理措置
個人データを扱う区域の管理 ・だれでも見られる場所に個人データを放置しない。個人データを取扱うことのできる従業者以外が、個人データを容易に閲覧できない措置(ネットワークカメラなどによる取扱区域の監視体制の構築など)を講じる
機器や電子媒体等の盗難防止 ・個人データを取扱う機器、個人データが記録された電子媒体や書類などを物理的に外部へ持ち出せない対策を講じる。例えば、施錠できるキャビネットや書庫、金庫などへの保管、セキュリティーワイヤーによる機器の固定など
電子媒体等を持ち運ぶ場合の漏えい等の防止 ・個人データが記録された電子媒体や書類などを持ち運ぶ場合、紛失や盗難などを防ぐと共に紛失時の漏えいリスクを軽減する安全対策を講じる。例えば、電子媒体にはパスワード設定/暗号化対応のポータブルHDDやUSBメモリーなどを活用し、書類は封入してカバンに入れて搬送するなど。また、個人データはできるだけ持ち出さない仕組みの構築も検討する
個人データの削除・機器や電子媒体等の廃棄 ・不要となった個人データについて、デジタルはデータ完全抹消ソフトウエアや物理的な破壊により、書類はシュレッダーや焼却処理などにより完全に廃棄し、それを責任者が確認する
6. 技術的
安全管理措置
アクセス制御 ・個人データを取扱うことのできる従業者や機器を明確化し、個人データへの不要なアクセスを防止する。ログ管理ソフトによりアクセス記録を残すことも効果的
アクセス者の識別と認証 ・権限を持つ担当者以外の個人情報データベースへのアクセスを遮断する対策を講じる。例えば、OSのユーザー制御機能などの活用、指紋認証/ICカード認証対応PCなどの導入による識別と認証など
外部からの不正アクセス等の防止 ・個人データを取り扱うPCやサーバーにセキュリティソフトを導入すると共に、OSやソフトは常に最新状態にして脆弱性を修正する。暗号化対応のPCやサーバー、HDDなどの導入により、個人データを守るのも効果的
情報システムの使用に伴う漏えい等の防止 ・個人データを含むファイルをメールなどにより送信する場合のセキュリティ対策(送信時のパスワード設定など)を講じる

※手法例/対策例などはガイドラインを参考に編集部作成

個人情報の提供

保有している個人データベースを他人に渡す場合(④個人情報の第三者提供)には、原則として本人の同意を得なければならない。

同意を得た上で、個人情報のトレーサビリティ確保を目的に、提供記録の作成が必要(図2)。提供した側は提供日や取引相手の氏名、情報の種類などの項目を、提供を受けた側は提供側の取得経緯なども記録して、原則3年間の保管が義務付けられている。

第三者提供ルールの例外は、以下の3つ。「表3に相当する場合」「提供先が第三者に当たらない場合(委託/事業承継/共同利用など)」「オプトアウトの場合」は、本人同意がなくとも個人情報を他人に提供できる。

オプトアウトとは、事前に一定の要件を満たすことで本人の同意を得ることなく個人情報を自由に使える特例。だが、要件ハードルが高く手続きも面倒なだけに、小規模事業者にはメリットの少ない制度だろう。

なお、要配慮個人情報にはオプトアウトを適用できない。また、海外の第三者に対する個人情報の提供には別途ルールが定められている。

■図2 個人情報の第三者提供におけるルール概要

個人情報の開示と罰則

保有している個人情報に対し、本人から開示や訂正などを請求された場合(⑤個人情報の開示)、事業者には対応が求められ、利用目的や請求手続きの方法、苦情の申出先などの問い合わせにも確実かつ迅速に答えなければならない。

ただし、半年以内に消去予定の個人情報や、データ編集作業だけを目的に委託された個人情報については開示せずともよく、開示により事業者に膨大な負担がかかる場合なども対応は不要とされている。

以上、5項目のポイントを解説したが、これらの対策を怠った場合、必要に応じて立入検査が行われ、実態に応じて指導や助言、勧告、命令が下されるなど、すぐに罰則が適用されるわけではない。

だが、従業員による個人情報の盗用には注意が必要。情報を持ち出した者に罰則(1年以下の懲役または50万円以下の罰金)が与えられるのはもちろん、それを見過ごした事業者にも罰金が科されるからだ。

個人情報の適正な扱い方は、業種や業務内容、保有している情報の質などにより左右される。個人情報保護委員会では、ガイドラインなどに関する詳細な「Q&A」をWebに公開すると共に、電話窓口の「質問ダイヤル」を設置している。これらを活用しながら対策に取り組んでほしい。

(*1)取得時に特定した目的と関連性があれば、その範囲内で利用目的を変更できる