Vol.48 改正個人情報保護法が施行!中小企業・小規模事業者が気をつけるべきことは?

平成27年9月に成立し、29年5月30日に全面施行となった改正「個人情報の保護に関する法律」(以下「個人情報保護法」という)。個人情報取扱事業者の範囲が拡大したり、罰則規定を強化したりと、これまで法の義務規定の適用が除外されていた中小企業・小規模事業者であっても気をつけるべき内容が盛り込まれています。
今回のミラサポ総研では、個人情報保護法を所管する個人情報保護委員会 加藤芳史参事官補佐、白鳥晴之上席政策調査員、湧井隆一政策調査員に、個人情報保護委員会の概要や中小企業・小規模事業者が守るべきルールなどをうかがいました。
※本記事は、29年8月10日時点の取材をもとに執筆・掲載しています。

さまざまな省庁にまたがっていた監督権限を一元化 個人情報を巡る環境はこの10年で激変

さまざまな省庁にまたがっていた監督権限を一元化 個人情報を巡る環境はこの10年で激変

クリックすると拡大します

平成28年1月に、特定個人情報保護委員会から改組される形で「個人情報保護委員会」が設置されました。同委員会は内閣府の外局であり、公正取引委員会や国家公安委員会と同様、高い独立性のある行政機関です。

これまでは消費者庁が個人情報保護法を所管し、各省庁の大臣がそれぞれに事業所の監督権限を有していました。それを改め、一部の分野を除いて監督権限を一元化するとともに、事業者が講ずる措置を定めたガイドラインもかつて38あったものを一元化しました。また、通則を定めたガイドラインのほかに、「外国にある第三者への提供編」「第三者提供時の確認・記録義務編」「匿名加工情報編」の3つのガイドラインが定められています。ただし、特殊性のある一部業種に対しては、これまでどおり監督省庁がガイドラインを策定しています。

また、個人情報保護委員会は必要に応じて、事業者に対して報告を求めたり、立ち入り検査を行ったりすることができます。その後、指導・助言、勧告・命令を行うこともできます。

個人情報保護法の目的は、個人の権利・利益を保護するのはもちろんのこと、個人情報の有用性を確保することです。これらのバランスを図るため、事業者の遵守すべき義務を定めています。個人情報保護法が約10年ぶりに改正された背景としては、スマートフォンの普及やIoT(モノのインターネット)の推進に挙げられるような、個人情報を巡る環境の変化があります。

改正のポイントはこちらからお読みいただけます。

ミラサポ総研vol.36 個人情報保護法が改正されると、どうなるの?

すべての事業者が守らなければならないルールがある

取り扱う個人情報の数が5,000以下の事業者は、旧法では義務規定を免除されていましたが、改正法ではこの例外規定が撤廃されました。国や自治体、独立行政法人を除き、すべての事業者・団体が「個人情報取扱事業者」の対象になりました。営利・非営利や、法人格の有無に関わりません。

また、個人情報の定義が明確化され、個人識別符号はその情報単体で個人情報に該当すると定義されました。個人利用者の運転免許証番号などを控える事業所も多いかと思います。個人と結びつけられるような形で保管していない場合であっても、個人識別符号の取り扱いに留意する必要があります。

すべての事業者が守らなければならないルールがある

クリックすると拡大します

個人情報取扱事業者が守るべきルールは、以下のとおり大きく分けて5つあります。①についてはすべての個人情報取扱事業者が守るべきもの、②~④については個人情報データベース等を有する事業者に義務があるもの、⑤については、開示等の権限のある個人データを有する事業者が守るべきものとなっています。

個人情報を取得・利用するときのルール
個人情報を取得した場合は、その利用目的を本人に通知、または公表することが必要です。
通知とは、手紙やメールなどにより本人に知らせること。公表とは、広く一般にHPなどで知らせること。ただし、運送会社が配送伝票により個人情報を取得する場合など、明らかに使用目的がわかる場合は通知などをしなくても構いません。一方で、その目的を超えて使用するときには本人の同意を得ることが必要となります。
人種や信条、病歴などの「要配慮個人情報」については、不当な差別、偏見につながる恐れがあるため、取得の際に本人の同意が必要となりました。法改正より前に取得された要配慮個人情報についてはこの限りではありませんが、法改正後に新たに取得する、といった場合には注意が必要です。

個人情報を保管するときのルール
情報の漏えいなどが生じないように安全に管理することが必要です。鍵がかかる引き出しで個人データを保管するなどはもちろん、従業員や委託先の監督義務もあります。
なお、法改正により新たに義務の生ずる中小企業・小規模事業者にとっては負担がかかると思われます。そこで、中小規模事業者向けの安全管理措置の例がガイドライン(通則編)P86~P98に示されているので、参考としていただければと思います。

中小企業向け「これだけは!」10のチェックリスト付 はじめての個人情報保護法 ~シンプルレッスン~(PDF形式:460KB)

改正個人情報保護法の基本(PDF形式:1,021KB)

個人情報の保護に関する法律についてのガイドライン(通則編)(PDF形式:825KB)

個人情報を他人に渡すときのルール
個人情報を本人以外の第三者に渡すときは、原則として本人の同意を得ることとしていますが、要配慮個人情報にあたるもの以外はオプトアウト手続き(本人の求めによる第三者への提供停止)が認められています。社会的背景を受け、改正法では、これを厳密に行うために公表内容の届出が必要となりました。
また、過去に大規模な個人情報漏えい事件があった際に、漏えいの出所の特定に時間を要したことから、記録義務が課されるようになりました。漏えいの出所がすぐ特定できるようになることが期待されています。

個人情報を外国にいる第三者に渡すときのルール
外国の第三者に個人情報を提供する場合には、次のいずれかを満たさない限り、原則として開示することはできません。
(1)外国にある第三者へ提供することについて本人の同意を得た場合
(2)外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している場合
=APECの越境プライバシールールシステムの認証を得ている場合などがこれにあたります。
(3)外国にある第三者が個人情報保護委員会の認めた国に所在する場合
=これは現時点で認められた国はありません。

本人から個人情報の開示を求められたときのルール
本人からの請求に応じて、個人情報を開示、訂正、利用停止などすることと、消費者からいつでも問い合わせられる状態にしておくことが必要です。個人情報の取り扱いに関する苦情を受けたときは、適切かつ迅速に対処してください。
詳しくは、法令やガイドラインなどをご覧ください。

ビッグデータの活用促進も

「匿名加工情報」の利活用の規定が新設されました。従前から、特定の個人を識別することができず、かつ、元となる個人情報に復元することができない情報であれば、本人の同意がなくても第三者に渡すことができましたが、個人の権利・利益の侵害に繋がりかねないと、消費者が不安を感じる一方、事業者もどこまで保護すればよいか明確でありませんでした。そういった「炎上につながるようなリスク」を恐れずに、事業者がビッグデータを適切に活用できるように定義を明確化したものです。

ただし、匿名加工情報の作成にあたっては、特定の個人を識別できないよう加工するとともに、それを復元できない状態にすることが必要で、一定の基準が設けられています。ガイドラインや各業界団体による自主ルールを十分に確認してください。

個人情報保護に関する法律についてのガイドライン(匿名加工情報編)(PDF形式:342KB)

ガイドラインに沿った適切な運用を お困りごとがあれば、お問い合わせください!

事業者のルールの遵守状況は個人情報保護委員会が監督し、内容によっては、是正に向けた勧告をします。勧告に従わない場合は命令を行うこととなりますが、それに違反した場合には、6ヶ月以下の懲役または30万円以下の罰金が科されます。また、虚偽報告の場合は30万円以下の罰金が科されます。

さらに、従業員の一人が不正に利益を図る目的で個人情報を第三者へ漏えいさせた事件をきっかけに、「個人情報データベース等不正提供罪」が新設されました。これに違反した場合は、従業者個人に1年以下の懲役または50万円以下の罰金が科されます。また、その所属する法人にも監督責任として罰則がありますので、十分留意しましょう。

ガイドラインに沿った適切な運用を お困りごとがあれば、お問い合わせください!

クリックすると拡大します

個人情報の取り扱いについての困りごとに対しては、「認定個人情報保護団体」の制度に基づき、国の認定を受けた民間団体が、関係業種の対象事業者への情報提供などを行います。認定個人情報保護団体一覧は、次のページで公開しているので、あらかじめご確認ください。

認定個人情報保護団体

もし該当する団体が一覧にない場合は、個人情報保護委員会で相談などを受け付けますので、以下の「個人情報保護法相談ダイヤル」までお問い合わせください。

個人情報保護法相談ダイヤル(個人情報保護委員会)
TEL:03-6457-9849




すべての特集を見る