こんにちは。

文系のための手に職コンサルタント ganapatiです。

タイトルにも書きましたが、個人情報保護法が改正され、来年上半期中には全面施行されます。

ビジネスをする者にとって個人情報は切っても切れないものです。

詳しい条文は読まなくとも、概要だけ知っておくだけでもだいぶ違います。

万が一間違った扱いをして訴訟に発展してしまったら・・・と考えると結構大事な話題なんです。

今回は改正個人情報保護法がどのように変わったか、気を付けるべきことについてザクッとまとめておきます。

 

 

個人情報保護法改正の背景

 

もともと2005年4月に個人情報保護法が全面施行されています。

その改正が決まったのが2015年(9月に公布)。

その背景としては次のようなものがあります。

  • 「個人情報」の定義にグレーゾーンがあって、取り扱いに苦慮していた。
  • ビッグデータなど社会的にメリットが大きい仕組みに対応が求められていた。
  • 名簿屋が絡んだ事件が頻発していた。(ベネッセの事件など)
  • 個人情報を漏えいした場合の罰則・刑罰が未整備だった。
  • 管理体制の甘い中小事業者が適用対象でなかったので問題が発生しやすかった。

このようなことに対応するために、改正されることになったわけです。

これだけ知っておくだけでも、今後どうすべきかおおよそ予想がつくのではないでしょうか?

 

個人情報保護法改正を知ってどう生かすの?

 

具体的な改正内容を解説する前に、知ってどうするってことに触れておきたいと思います。

そうでないと、「俺には関係ない」っていう人が結構出てきそうなので。

社内で話題にするときにも参考になるはず。

  • 個人情報の取扱に関して全社員が理解しておかないとまずい世の中になるよ
  • 第三者に渡して作業をさせるとき(例えばDM印刷)に注意すべきことが出てくるよ
  • 会社であればちゃんと体制として対策を講じておかないと後で何言われるかわからないよ
  • 今後訴訟に発展するようなことがあれば、以前よりも責任が大きくなる可能性が高いよ
  • 個人情報を提供する側であれば、危険な会社を見分けることができるようになるよ

とまあ、こんな話です。

なお、わたしは法律の素人なので詳しくは弁護士や関係機関にお聞きください。

 

具体的な改正のポイント

 

1.個人情報が再定義された

以下のように個人情報を定めることになりました。

①一般的な個人情報:

住所、氏名、生年月日など。口座番号や移動履歴、購買履歴など。(照合すると個人が特定できるもの)

②個人識別符号その1:

指紋認証データ、顔画像データ、マイナンバー、運転免許証番号、パスポート番号、年金番号など

(単なる番号・記号ではあるが、特定の個人情報を検索できるように体系化されているもの。個人情報データベース、台帳といったもので管理されていれば該当してくる。)

③特に配慮すべき個人情報:

人種、信条、社会的身分、病歴、犯罪歴、被害歴など

 

一方グレーゾーンもまだ残っています

携帯電話番号、クレジットカード番号、メールアドレスなど。(必ずしも個人を特定できない。が、実際の取扱においては個人情報として考えたほうが無難)

 

個人情報としないもので覚えておきたいものは次のようなものです。

機械のmacアドレスやシリアルナンバー、匿名加工情報

 

2.匿名加工情報という考え方ができた

匿名加工情報とは「個人情報を加工し特定の個人の識別することができず、かつ元の個人情報に復元することもできないようにした情報」のことです。

このように元の個人情報データと照合できなくすることでビッグデータなどに活用(第3者への提供など)できるようになります。

一個人としてみれば、ビッグデータにも自分の情報を活用されたくなければ、よーーーーく利用規約を読むことが重要になってきます。後になって文句言ってもダメってこと。

なお、匿名加工情報の取り扱いにおいては提供側にはかなり規制やルールが適用されますし、提供を受ける側にもいくつかの義務が生じます。少なくとも何を受渡したのかについてはきちんと記録して、必要に応じて公表しなければならなくなりました。当時の記録が残ってません、、、なんてことは言えなくなったのです。

 

3.個人情報の活用が緩和された

個人情報を収集する際、当然ですがその利用目的・利用範囲について告知し同意を取らなければいけません。そしてこれまでは利用目的に相当関連したもの出なければ個人情報を使用することができませんでした。例えばアンケートにメールアドレスなどを記入してもらって、そこに「メールマガジンなどをお送りします」というような記載がなければメルマガを送ってはいけなかったわけです。

ところが今回の改正により「相当」という部分が抜けました。つまり当初の利用目的の延長にあるようなものであればメルマガを送るのは問題ないというわけです。(とはいえ、そもそも最初から合意を得たほうが良いのは間違いありませんし、全く関係のないメルマガを送ったらアウトでしょう。)

 

4.個人情報を提供するときのルールができた

例えばDM印刷業者やコンサル機関といった業務上個人情報を提供せざるを得ない場合ってありますよね。これらは第三者になりますので、いくら契約で個人情報を漏えいしないというような文言を残していたところで、簡単に情報を提供することはできなくなりました。

個人データを第三者に提供したときは、提供先の氏名等の記録を作成し、一定期間保管する必要があります。

また、個人データの第三者提供を受け取る側も、提供者や個人データの取得経緯等を確認した記録を作成し、一定期間保管する必要があります。

このように双方で各種記録を作成・保持しておくことが必要となりました。

 

5.全ての事業者が対象になった

これまでは取り扱う個人情報の数が5000件以下となる事業者は規制の対象外でした。

今後はこのような制限がなく、すべての事業者が対象となりました。

 

会社として対応すべきことは?

 

会社としては次のようなことが求められます。

1.個人情報の定義について社員全員がよく理解する

結局個人情報の取扱で問題を起こしそうなのは現場です。経営幹部だけではなく、全社員で理解しておく必要があります。

 

2.社内体制・規定・ルールなどを整備する

社員が個人情報の取り扱いについて理解しても、一定のルールや管理体制がないと長続きしません。

きちんと明文化して示す必要があります。

 

3.実際の業務で取り扱う個人情報を確認する

そもそも個人情報は社内のどこにあるのでしょうか?管理者が知らないところで保管されているかもしれません。

 

4.現在の取り扱い方の再点検をする

個人情報がどのような形で入手され、どのように編集・加工・利用・保管されているのでしょうか?いつの間にか個人が契約するクラウドストレージに保管されていたりしませんか?

 

5.システム化などで対応を考える

余裕があればですがシステム化も検討してみると良いでしょう。ただし、システム化すると現場はすごーーーーく窮屈な思いをするでしょう。中小企業では大変です。

ganapati55

Author ganapati55

かつて人材ビジネスで起業し5年で廃業した経験を持つサラリーマン。ベンチャー企業時代~起業家時代の濃密な時間でありとあらゆる経験をし、文系ながら多彩なスキルをマスター。今もしぶとく生きています。

More posts by ganapati55