平成27年に改正された個人情報保護法は、平成28年1月1日の一部施行を経て、平成29年5月30日から全面施行されます。施行後は、事実上全ての事業者が規制の対象となるとともに、個人情報の取扱いについて新たに注意すべき点も出てきます。
施行までそれほど時間がありませんが、対策を講じていない企業も、ポイントを押さえて準備すれば間に合います。既に対策を講じている企業も、見落としがないか改めて確認しておきましょう。
A:これまで、個人情報保護法上の義務を負う「個人情報取扱事業者」には、取り扱う個人情報の数が5000人分以下の事業者は除外されていました。しかし、改正により、そのような事業者も除外されなくなります。事業活動を行う以上、顧客、取引先、従業員などの個人情報を全く取り扱わないということは考えがたいので、事実上全ての事業者が対象になると言えます。
A:法律の規制は、以下の「チェックリスト」にあるように5つの局面で及びます。これに沿って順次チェックし、本欄での説明のほか、各種書籍、個人情報保護委員会のホームページなどを参照して、対応できていない点があれば改善するようにしましょう。
1.個人情報を取得する時
個人情報を取得する際、何の目的で利用されるかご本人に伝わっていますか?
2.個人情報を利用する時
取得した個人情報を決めた目的以外のことに使っていませんか?
3.個人データを保管する時
取得した個人情報を安全に管理していますか?
4.個人データを他人に渡す時
取得した個人情報を無断で他人に渡していませんか?
※委託した場合は除きます。
5.保有個人データの開示を求められた時
「自分の個人情報を開示してほしい」と本人から言われて、断っていませんか?
※個人情報保護委員会「中小規模事業者向け 個人情報保護法の5つの基本チェックリスト(平成28年10月)」から抜粋
A:個人情報は、住所氏名のように特定の個人を識別できる情報をいいます。改正法により、身体的特徴に関する符合(指紋認証データなど)やその人ごとに割り当てられる符合(免許証番号など)も、個人情報(個人識別符号)に当たることが明確化されました。
個人データは、特定の個人情報を検索可能にしたもの(個人情報データベース等)を構成するデータをいいます。コンピュータに情報を入力した場合だけでなく、紙に書いたものを五十音順にファイルするだけでも、検索は可能なので個人データに当たります。
さらに、個人データのうち、事業者が開示、訂正、利用停止等を行う権限を有するものを「保有個人データ」といいます。
個人情報保護法は、まず、個人情報の取得、利用について規制しています(チェックリスト1、2)。次に、個人データについては、情報の管理と第三者への提供についても規制しています(同3、4)。さらに、保有個人データについては、本人からの開示等の請求にも対応するよう求めています(同5)。
A:個人情報の取得に当たり、利用目的をできる限り特定し、それを本人に通知または公表しなければなりません。プライバシーポリシーを作成し、ホームページなどに掲載する方法が便利でしょう。なお、改正法では、人種、信条、病歴等の要配慮個人情報は、通知・公表で足りず、本人の同意がなければ取得できないと定められました。
取得した個人情報は、利用目的の範囲でしか利用することはできません。たとえば、配達の目的で教えてもらった住所にダイレクトメールを送るのは目的外利用に当たり許されません。
A:個人データの管理のために、(1)安全管理措置、(2)データ内容の正確性の確保等、(3)従業者の監督、(4)委託先の監督を行う義務があります。
安全管理措置については、個人情報保護員会のガイドラインにおいて、a)基本方針の策定、b)個人データの取扱いに係る規律の整備、c)組織的安全管理措置、d)人的安全管理措置、e)物理的安全管理措置、f)技術的安全管理措置の各措置を講じるものとされていますが、中小規模事業者に対しては負担が軽減されています。
具体的内容はガイドラインの86ページ以下を参照してください。
A:個人データは、法令に基づく場合などの一定の場合を除き、本人の同意を得ずに第三者に提供することはできません。ただし、委託、事業の承継(合併等)、グループ会社間などの共同利用の場合は例外的に許されます。
改正法では、個人データの流通過程を追跡可能にするため(トレーサビリティ)、データの提供者と受領者に、提供の年月日や氏名、データ取得の経緯等についての確認、記録が義務付けられました。
A:保有個人データについて、本人から、(1)開示請求があった場合、(2)内容が事実でないため訂正の請求があった場合、(3)目的外利用、適正取得違反、または第三者提供の制限違反のため利用停止等の請求があった場合は、それに応じなければなりません。
また、その前提として、保有個人データの利用目的、開示等に必要な手続、苦情の申出先等を、本人の知り得る状態に置かなければなりません。これも、プライバシーポリシーの掲載などで対応するのが便利でしょう。
A:個人データは第三者への提供が制限されていますが、改正法では、匿名加工情報(特定の個人を識別することができないように個人情報を加工し、それを復元できないようにしたもの)は本人の同意を得ずに提供することができると定められました。これにより、いわゆるビッグデータの利用が進むことが予想されます。
弁護士曽我陽一執筆 仙台商工会議所月報誌「飛翔」2017年4月号特集記事より