お客様の大切な個人情報をどう管理する?【早わかり改正個人情報保護法】

個人情報の管理は大切です

こんにちは、ピピッとチョイス編集部です。2017年5月30日から改正個人情報保護法が施行されています。改正法によって、ほとんどすべての企業・団体が個人情報保護法の対象になりましたが、皆さんのオフィスや店舗では適切に個人情報を取り扱えていますか?

個人情報保護法とは

今や個人情報は世界中に流出する可能性も

1970年代以降、IT技術やインターネットの登場によって、世界規模で個人情報の保護が意識されるようになりました。ヨーロッパ各国などの動きを受けて2005年に施行された個人情報保護法は、正式には「個人情報の保護に関する法律」と言います。個人の権利・利益の保護と個人情報の有用性とのバランスを図るため、民間事業者の個人情報の取扱いについて定める法律です。

施行から10年あまりの間に情報化社会は急激に発展したため、改正・施行されたのが改正個人情報保護法です。果たしてこの改正によって、何が変わったのでしょうか?

5つの改正のポイント

正面から見た国会議事堂

今回施行された改正個人情報保護法の変更点は大きく5つあります。

(1)個人情報保護委員会の新設

改正によって監督体制が一元化される

出典:改正個人情報保護法の基本

これまで個人情報を取り扱う事業者の監督権限は、各分野の主務大臣に与えられていました。このやり方では所管省庁が不明確 といった課題があったため、改正法では2016年1月に新設された個人情報保護委員会に権限を一元化しています。この委員会には「指導・監督」のほか、「命令・勧告」「罰則」に加えて「立ち入り調査」の権限も与えられています。

(2)個人情報の定義の明確化

改正前の条文では、個人情報を以下のように定義していました。

【改正前】
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

この条文では、他の情報と紐づけることで個人を特定できるものを個人情報として定義しています。しかし「指紋」や「画像」などが特定の個人を識別できるものに含まれるのかどうかについては不明瞭でした。今回の改正では、その情報単体でも個人情報に該当することとした「個人識別符号」の定義が設けられています。

個人識別符号とは

「個人識別符号」には2種類あります。1つは「身体の一部の特徴を電子計算機のために変換した符号」、もう1つは「サービス利用や書類において対象者ごとに割り振られる符号」です。前者はDNAや虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋のほか、歩行の態様(歩く時の歩幅や姿勢など)も含まれています。後者は旅券番号や基礎年金番号、免許証番号、住民票コード、マイナンバー、 各種保険証等に付番される公的な番号を意味します。

(3)個人情報の有用性を確保(利活用)するための整備

ビッグデータのイメージ

近年ビッグデータの活用に注目が集まっています。総務省は平成24年版の情報通信白書の中で、ビッグデータを「事業に役立つ知見を導出するためのデータ」と定義しています。市販されているデータ管理ツールなどでは処理することが難しいほど、大量で複雑なデータの集まりであるビッグデータを解析することで、社会の問題解決や業務の付加価値向上に役立つことが認められています。

しかし、一般消費者のデータを集めたり活用するにあたって、個人情報保護法の規定が障害になっていました。そのため、個人が特定できないように加工すればビッグデータとして利活用ができるように法律が改正されています。

(4)名簿屋対策

今回の改正により、個人データを第三者に提供する場合には確認記録の作成等が義務化されました。また個人情報のデータベース等を不正に第三者に提供したり盗用する行為を「個人情報データベース等不正提供罪」として処罰の対象としています。

(5)その他

地球儀

対象事業者の拡大

従来は取り扱う個人情報の数が5,000以下である事業者を規制の対象外としていましたが、今回の改正でこの制度が廃止されました。このため、規模の小さな企業や団体も個人情報を取り扱う場合には個人情報保護法の規制対象となっています。

これは法人に限定するものではなく、また営利・非営利を問うものでもありません。例えばNPO法人や同窓会のような団体であっても、会員の住所録のような個人情報データベースを持っていれば対象になります。

オプトアウトに関するルール変更

「オプトアウト」とは、個人情報を収集する段階で本人に第三者への情報提供の可否を確認している場合に、本人の同意なしに第三者への情報提供を可能とするものです。 このオプトアウト手続によって個人データを第三者に提供しようとする者は、個人情報保護委員会へ届け出ることが必要となりました。また、届け出の内容はインターネット等の方法によって公表することが義務付けられています。

これも名簿業者による個人データの不正流通対策となるもので、主な対象者はいわゆる名簿業者です。その他の事業者に届出が必要かどうかは個別の判断になりますが、「本人から同意を得ている場合」や「個人データに該当しない個人情報を第三者提供する場合」、「業務の委託、事業の承継、共同利用を行う場合」には必要ありません。

外国への情報提供に関する規定を新設

外国にある第三者への個人データの提供については、これまで規定がありませんでした。そのため一定の制限を設けたり、個人情報保護法の国外適用や、個人情報保護委員会による外国執行当局への情報提供に係る規定が新設されています。

法令順守のためにすべきこととは?

事業者が守るべきことは「取得・利用」「保管」「提供」「開示請求等への対応」の4つがあります。順番に確認していきましょう。

(1)取得・利用

勝手に使わない。

個人情報の取得・利用に当たっては、あらかじめ利用目的を具体的に決めて、その範囲内で利用すること、また利用目的は通知または公表することが義務づけられています。本人に口頭で説明したり、店舗内に掲示したり、申込書に記載しておくことが必要です。

また、情報の利用目的が状況から明らかな場合は、利用目的の通知・公表は不要となっています。例えば配送伝票は記入内容を配送のために利用することが明らかなので、配送伝票上に利用目的を記載する必要はありません。

情報取得に際し、本人の同意までは必要ありません。しかし利用目的を変更(追加)する場合には、原則として本人の同意が必要とされています。(関連性のある範囲内であれば通知・公表のみでOKです。)

要配慮個人情報に関する注意

要配慮個人情報とは、人種や信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、身体障害などの障害があることなど、不当な差別、偏見などの不利益が生じないように、取り扱いに配慮を要する情報です。

例えば、平成27年から労働者50人以上の事業所に実施が義務づけられたストレスチェックの診断結果は要配慮個人情報に該当します。そのため医師等は本人の同意を得ずに事業者に診断結果を提供することはできません。

(2)保管

なくさない。漏らさない。

保管については皆さんが一番気になっていることだと思います。取り扱う個人情報の性質や量にもよりますが、管理に関しては必ずしもドアに電子ロックをかけたり、セキュリティ会社との契約が必要になるわけではありません。安全な情報管理の手法として、「人的」「組織的」「物理的」「技術的」の4つに分類して考えることができます。

人的安全管理措置

人的な安全管理の方法としては、従業員に対して業務上知り得た個人データを漏えいすることがないよう非開示契約を締結したり、情報の取り扱いに関する教育や訓練を行うことが挙げられます。

特に従業員に対する教育は重要です。定期的に研修を行って情報管理の意識を高めることは、企業・団体の規模の大きさに関わらず実施が可能であり、最も効果が高いと言えるでしょう。教育を継続することで安全性も高まります。

組織的安全管理措置

マイナンバーのような重要な個人情報を扱う場合には、担当者を明確にして、担当者以外が情報に触れることがないような組織を作ることも有効です。担当者が複数いる場合には、責任ある立場の者とその他の者を区分して、あらかじめ整備されたルールに従って個人データが取り扱われていることを責任者が定期的に確認したり、漏えいなどが発生した際には速やかに責任者に報告・連絡ができる体制を構築することが、リスクの軽減につながります。

物理的安全管理措置

物理的には入退室管理の実施や個人データを含む媒体の施錠保管、離席時に机の上に個人情報の書類を放置しない、 離席時にはパソコンにパスワード付きスクリーンセイバーを起動させる、などの対策が考えられます。入退室管理については専用の機器を導入する必要はなく、紙に入退室の時刻と名前を記載するだけでも安全管理措置として認められます。

技術的安全管理措置

技術的な安全管理措置としては、個人データが記載された書類をカギ付きの棚に保管したり、システムにIDとパスワードを設定して担当者によってアクセス制限を設けたり、ウイルス対策ソフトを導入したり、書類の廃棄にはシュレッダーを活用するなどが挙げられます。ウイルス対策ソフトは、常に最新の状態を保つため、自動更新できるように設定すると良いでしょう。また、メールに個人情報を記載する場合には、パスワードを設定するなどの配慮も大切です。

取扱規定を定めて運用する

メールにパスワードを設定するような事は、比較的簡単に実施できる対策です。しかし、個人情報を扱う全員が行わなければ意味がありません。個人情報の取扱規定を定め、全従業員によって正しく運用されることが求められます。

従業員数が100人以下の事業者については、取扱規定の策定はなくても構わないといった緩和措置が取られています。しかし、コストをかけなくてもできる対策はいろいろ考えられます。情報が安全に取り扱われるよう、できる限りの措置を行いましょう。

委託先の選定も重要

個人情報の委託をする場合は、委託元に監督責任が課せられます。そのため適切な情報管理ができる委託先を選択することが大切です。プライバシーマークを取得しているからと言って、適切な管理が行われているとは限りません。安全管理措置に関する契約を締結するだけで終わらず、定期的に現場を訪問してチェックするなど、委託先にも適切な管理を求めましょう。

(3)提供

勝手に人に渡さない。

第三者に情報を提供する場合は、あらかじめ本人の同意が必要です。本人の同意は口頭や書面で得るほか、ホームページで同意欄にチェックしてもらうなどの方法が考えられます。(ただし、警察や裁判所などによる法令に基づく場合や災害時の被災者情報の提供のように生命・財産の保護に必要な場合には例外があります。)

また第三者に個人情報を提供した場合には「いつ・誰の・どんな情報を・誰に、提供したか」を、提供を受けた場合には「いつ・誰の・どんな情報を・誰から提供され」、「相手方がどのようにして情報を取得したのか」を記録し、原則3年の保管が必要です。

もしも不正に入手された個人情報の提供を受けてしまった場合、処罰の対象になる可能性があります。ただし、この規定は個人情報の不正な流通防止が目的のため、例外が複数設定されています。個別に確認しておきましょう。

(4)開示請求等への対応

問合せには適切かつ迅速に対応する。

個人情報については「開示等の請求」が可能です。これは自分の個人情報について「見せてほしい」、「誤りを訂正してほしい」といったの請求のことを言います。本人から開示などの請求があった場合には、これに対応しなければなりません。特に苦情があった場合には適切かつ迅速に対応しましょう。

なお、半年以内に消去するなど一時的に保有しているにすぎない個人情報や他の事業者から委託されて扱っているだけの個人情報で開示などの権限がない場合には対応不要です。

また取得した個人情報の開示請求に必要な情報として、事業者の名称や利用目的、請求手続きなどについては、本人が知り得る状態に置く必要があります。ホームページなど絵公表したり、問合せについてすぐに応えられるようにしておくなどの措置が必要です。

まとめ

個人情報の流出や漏えいなどがあれば企業イメージを大きく損ないますし、莫大な損害賠償責任が発生する可能性もあります。リスクを最小限に抑えるためにも正しい知識を身につけることが必要です。今回取り上げた内容については、個人情報保護委員会のホームページで詳しい資料を閲覧できます。事業の規模にかかわらず、適切な管理を行いましょう。

<参考>個人情報保護委員会事務局
はじめての個人情報保護法

個人情報保護法の基本

オプトアウト手続きについて