改正個人情報保護法のポイントについて

Q(質問)
個人情報保護法が改正され,これまで対象外だった中小規模事業者も規制の対象になると聞きました。改正のポイントを教えて下さい。

A(回答)
改正前の旧法では,データベース化された個人情報を5000人分以下しか扱っていない場合には,個人情報保護法の適用対象外でした(5000人要件)。そのため,大部分の中小規模事業者は規制の対象外とされてきました。改正後の新法では,この5000人要件が撤廃されたため,中小規模事業者であっても規制の対象とされることになりました。
以下,新法のポイントを学習していきましょう。
なお,本稿は,改正を概観し,そのポイントを解説することが目的ですので,新法の詳細な説明は割愛させて頂きました。同様の理由から,「個人情報」「個人データ」「保有個人データ」の詳細な定義なども割愛させて頂きました(改正の概観の観点からは,これらはほぼ同義と考えて差し支えありません)。

【解説】

1 個人情報保護法とは
 そもそも個人情報保護法とはどのような法律なのでしょうか。それを理解するためには,現代社会が,コンピュータシステムを中心とする情報処理技術と,インターネットなどの情報ネットワークを用いた情報流通技術に大きく依存しており,それが最早不可欠の社会基盤となっていることに意識を向ける必要があります。このような現代社会の社会基盤において,個人情報の利用は,個人生活だけではなく企業活動にも有用な存在であることは疑問の余地がないでしょう。
 しかし,その反面,本人も知らないうちに膨大な個人情報が収集され,予想外の目的で使用されたりして,個人の権利が侵害されるおそれが増加していることも否定できない事実です。実際に,企業の個人情報が大量に漏えいしたり,顧客の個人情報が含まれた名簿が不正に売買されるなど,深刻な被害も発生しています。
 個人情報保護法は,個人情報の有用性に配慮しつつ,個人情報の不適切な取扱いによって様々な個人の権利利益が侵害されることを未然に防止するために定められた法律です。もっと簡単に言えば,個人情報を取り扱う際の「交通ルール」を定めるものであり,それによって,個人情報の利活用を推進しつつ,不適切な取扱いにより生じる「事故」の発生を予防しようとするものです。

 

2 5000人要件
 以上で説明したように,個人情報保護法は,個人情報の不適切な取扱いを防止しようとするものですので,この適用を受けると,個人情報を取り扱う際にさまざまな安全管理措置などを設けることが求められ,相当程度の負担を伴うことになります。この負担を考え,データベース化された個人情報の数がそれ程多くない事業者は規制の対象外とするため,旧法では前述の5000人要件が規定されていました。しかし,例えば5000人分の名簿が流出すれば,その被害は必ずしも小さくないことなどから,5000人要件には従来から批判があり,新法では,これを撤廃することにしたのです。以下では,個人情報保護法の適用を受ける個人情報取扱事業者の義務や規制,改正後の新法への対応方法などをみていきましょう。

 

3 個人情報取扱事業者の義務・規制
 以上の経緯から,新法では,事実上全ての事業者が個人情報取扱事業者になりました。では,個人情報取扱事業者にはどのような義務や規制があるのでしょうか。それはおおむね次のようにまとめることができます。
⑴ 利用目的の特定
個人情報を取り扱う際,本人にとって,どのような目的で個人情報が利用されるのかを特定し,それを理解できるようにする義務です。
⑵ 利用目的による制限
個人情報を特定した目的以外で利用すること(目的外利用)は原則として禁止され,目的外利用をするためには予め本人の同意を得る義務です。
⑶ 適正な取得
偽り等の不正の手段により個人情報を取得してはならないという規制です。不正の手段の例としては,十分な判断能力のない子供や障がい者から家族の収入などの個人情報を家族の同意なく取得すること,不正の手段で取得された個人情報と知りつつその個人情報を取得することなどです。
⑷ 取得に際しての利用目的の通知
個人情報を取得する場合,予めその利用目的を公表し,公表していない場合には,取得後速やかに利用目的を本人に通知・公表する義務です。公表の例としては,自社のホームページ中の容易にわかる場所への掲載,店舗内の容易に目にする場所への掲示などです。
⑸ 安全管理措置
取り扱う個人データの漏えい,紛失などの安全管理措置を講じる義務です。
⑹ 従業者の監督
従業者が安全管理措置を遵守するよう適切な監督をする義務です。従業者には,正社員だけではなく,契約社員,アルバイト社員など,事業者の指揮監督を受けて業務に従事している者を含みます。
⑺ 委託先の監督
個人データの取扱いを外部に委託する場合には,自らが講じるべき安全管理措置と同等の措置が講じられように委託先を監督する義務です。
⑻ 保有個人データに関する情報の公表
自らが保有する個人データについて,一定の情報を本人の知りうる状態に置く義務です。対象となる情報には,個人情報取扱事業者の氏名・名称,保有個人データの利用目的,保有個人データの取扱いに関する苦情の申出先が含まれます。これらの情報は,例えばプライバシーポリシーとしてホームページに掲載することが多く見られます。
⑼ 個人データの第三者への提供の原則禁止
本人の同意なく個人データを第三者に提供することは,法令に基づく場合などの一定の例外を除き,原則禁止されるという規制です。

 

4 中小規模事業者の新法への対応方法
 以上のような義務や規制が,改正後の新法により,事実上全ての事業者に適用されることになりました。そのため,旧法下では規制の対象外だった中小規模事業者も対応が必要になります。それではどのようにすればよいのでしょうか。
 まずは,どのような個人情報を取得し,取得した情報はどのような目的で利用され,どこに保管されているのかなどを確認する必要があります。そして,その情報を基にプライバシーポリシーを作成しホームページに掲載したり,個人情報を取得する際に署名をしてもらう同意書を作成したりします。具体的には,おおむね次のような対応をすることです。
⑴ 個人情報の一覧化・取扱いの確認
どのような個人情報をどのように取り扱っているのかを各部門から聞き取り,取り扱っている個人情報とその取扱いの方法,目的などを一覧表にします。
⑵ 個人情報の利用目的の特定・プライバシーポリシーの作成
次に利用目的を特定し,それを定めたらプライバシーポリシーを作成しホームページなどで公表します。
⑶ 取得時の書式の作成
直接書面により個人情報を取得する場合には,利用目的の明示が必要になりますので,そのための書式を作成します。ホームページなどウェブサイトによる取得でも同様の対応が必要です。
⑷ 安全管理についての見直し
旧法下では個人情報保護法の対象になっていない場合であっても,個人情報の安全管理を何もしていないわけではないでしょう。そこで,今まで行っていた安全管理を改めて見直し,新法に対応したものにします。
⑸ 苦情への対応体制の確認
個人情報の取扱いに関して,実際に苦情が寄せられた場合にどのように対応するのかについて,マニュアル化する,研修会を開催することなどを検討しましょう。担当者を外部の研修に参加させ,その担当者が事業所内での研修の講師をするという方法もあります。

 

5 違反時の多様なリスク
 以上で説明した個人情報の安全管理を怠り情報漏えいなどした場合,事件・事故の公表により,事業者はビジネス社会で信頼を失い深刻なダメージを被ります(信頼喪失リスク)。それだけではなく,漏えいした個人情報の本人から漏えいによる損害賠償請求訴訟がなされるリスクもあります(訴訟リスク)。大規模漏えいであれば巨額の賠償金の支払いを余儀なくされる可能性があります(賠償リスク)。さらに,一定の違反行為は刑事処罰の対象にもなります(処罰リスク)。このような多様なリスクをコントロールするために,新法を遵守する体制を整備することが重要です。

 

6 結語
 以上,個人情報保護法の改正のポイントなどについて説明しました。改正後の新法への対応には,法律的な専門知識が必要となることが多いので,なるべく専門家である弁護士に相談することをお勧めします。

 

pdfファイル「ビジネスパートナーSan-in 32号(冬号)」をダウンロードする(PDF:6.4MB)