miyachannel
情報漏えいによる損害賠償などのニュースをよく目にしますが、平成29年5月30日から改正個人情報保護法が施行され、「保有する個人情報が5,000人以下の事業者」の適用免除が撤廃されます。これによって、すべての事業者に個人情報保護法が適用されることになります。
そもそも「個人情報」とは何か?
正しい理解とリスク管理を!
「個人情報」とは、生存する個人に関する情報であって、氏名、生年月日、その他の記述等によって「ある特定の人物」だとわかるものです。
また、他の情報と容易に照合することで、「ある特定の人物を識別できるもの」も個人情報に含まれます。
例えば、「従業員A」の氏名と紐づけて住所、携帯電話番号、メールアドレス、家族構成等を会社が管理していれば、それらはすべて「従業員A」の個人情報になります。
一般に、図のようなデータを業務に利用していれば、「個人情報取扱事業者」として、個人情報保護法の義務を負います。
<個人情報の例>
- メールソフトのアドレス帳
- 仕事で使う携帯電話の電話帳
- ソフトウェア等でリスト化された従業員名簿や顧客台帳
- 五十音順に整理し、インデックス等を付けてファイリングした登録カード
- 本人と判別できる防犯カメラ等の映像
- 本人の氏名が含まれた音声録音
- 本人を識別できるメールアドレス
※suzuki-taro@sample.comなどsample社の「ズズキ・タロー」とわかるなど- 電話帳、職員録、顔の認識データ、手のひらや甲の静脈形状データなど
- 旅券番号、免許証番号、基礎年金番号
- 国民健康保険、老人医療保険、雇用保険などの被保険者証の記号、番号、符号
守らなければならない「5つのルール」
個人情報保護法では、顧客や従業員の個人情報について、
1.取得
2.利用
3.保管
4.他人への提供
5.開示
それぞれにおいて守らなければならないルールがあります。
1.取得のルール
個人情報を取得するときには、何に使うのか、利用目的を具体的に決めておかなければなりません(関連するアフターサービス、新商品・サービスに関するお知らせのため等)。
その利用目的は、取得の際、本人に伝えるか、あらかじめホームページや店頭などで公表する必要があります。
顧客から個人情報の利用目的を聞かれたら、正しく答えられるようにしておきましょう。
2.利用のルール
取得の際に、特定した利用目的の範囲内でしか個人情報を利用できません。
例えば、商品配送のために取得した顧客の住所を使って、ダイレクトメールなどの宣伝に使うことは目的外利用となります。
すでに取得した個人情報を他の目的に利用するときには、あらかじめ本人の同意が必要になります。
3.保管のルール
個人情報をパソコンで管理したり、名簿等にまとめるときには、管理の安全性が問われます。例えば、パソコン上の電子ファイルにパスワードを設定する、ウィルス対策ソフトを入れるなどの対策が必要です。
紙媒体の場合は、鍵の付いたキャビネットなど施錠できる場所に保管します。
また、会社の保有する個人情報を、従業員が私的に使ったり、誰かに話したりすることがないように社員教育を行う必要があります。
4.他人への提供のルール
個人情報を他人(本人以外の第三者)に渡すときは、事前に、本人の同意が必要です。
ただし、次の場合は、事前の同意がなくても、第三者への提供には該当しません。
5.開示のルール
本人から自分の個人情報の開示や訂正・削除等を求められた場合は、それに応じなければなりません。また、苦情の申出先や開示請求等の方法などを本人が知り得る状態にしておくことが必要です。
適切な管理で信用を守る
個人情報保護法では、事業者や従業員が誤って個人情報を漏えいしてしまった場合でも、直ちに罰則が科せられることはありません。
しかし、企業の信用低下による取引等への影響、民事上の損害賠償請求リスク、お詫び状・謝罪広告などの事故対応費用の発生など、経営に多大な影響を与えることになります。
個人情報の取扱いルールを守って、適切な管理を行い、個人情報保護の方針を外部に開示することで、顧客からの信用を守りましょう。
改正個人情報保護法の主なポイント
- 5,000件要件が撤廃され、すべての事業者に個人情報保護法が全面適用されます。
- 指紋・顔認識データなどの身体的特徴なども個人情報に含まれることが明確化されます。
- 人種・信条・病歴など不当な差別や偏見が生じる可能性のある個人情報を「要配慮個人情報」と定め、原則として、取得には同意を義務づけ、同意を得ない第三者への提供が禁止されます。
- 名簿業者対策として、第三者提供にあたり、取得経緯の確認・記録の作成と保存が義務化されます。
- 不正利用を目的とした第三者提供や盗用に罰則(個人情報データベース不正提供罪)が設けられます。
