「個人情報の保護に関する法律」の改正について
平成29年5月30日付で、改正後の「個人情報の保護に関する法律」が全面的に施行され、中小企業をはじめとする全ての事業者が法律の適用対象となりました。今後は、個人情報の取扱いに関し、法律に規定されたルールを遵守することが求められます。
その前に、そもそも何が「個人情報」にあたるのか?という点で、判断に迷われる方は多いと思われます。「個人情報」の定義は法律上に記載があるのですが、その定義規定自体、読み解くのが難しいものです。そうした定義規定を基にして、「生存する個人に関する情報で、特定の個人を識別することができるもの」と説明されることがあります。具体的には「氏名」や「生年月日と氏名の組み合わせ」、「顔写真」は個人情報ですし、指紋データや免許証番号、マイナンバーなどの「個人識別符号」を含むものも個人情報です。ここに挙げたものはほんの一例であり、「個人情報」に該当する範囲は多岐に亘ります。運用の現場においては、”迷った場合は個人情報として取り扱うようにする”という意識でいるのが、安全かと思われます。また、個人情報の中でも、取扱いに特に配慮を要する「要配慮個人情報」という概念も、今回の改正で新たに設けられています。
こうした個人情報に対しては、①個人情報の取得・利用、②個人情報の保管、③個人情報の提供、そして④本人からの開示請求等への対応、といった各時点に対応する形で、大きく4つのルールが規定されています。
まず、①個人情報の取得・利用に際しては、⑴利用目的を特定して、その範囲内で利用すること、並びに⑵利用目的を通知又は公表することが求められます。利用目的は、ある程度具体的に特定する必要があります。また、公表の方法については特に定めがなく、事業所や会社ウェブサイトの分かりやすい場所に掲示するという方法が想定されます。
次に、②個人情報の保管に際しては、⑴情報の漏洩が生じないよう安全管理措置を取ることが必要です。具体的な措置の内容は、事業規模に応じて可能な程度が想定され、ガイドラインに手法例が紹介されています。また、⑵会社従業員や委託先にも安全管理の徹底が求められます。
さらに、③個人情報の提供に際しては、⑴原則として予め本人から同意を取ることが求められます。また、⑵第三者への個人情報の提供・あるいは第三者から個人情報の提供を受けた際は、一定事項を記録することが求められます(確認記録義務)。記録事項としては、個人情報を提供する場合は「いつ・誰の・どんな情報を・誰に」提供したか、提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかをそれぞれ記録する必要があります。
最後に、④⑴本人から個人情報の開示等の請求があった場合は、会社においてこれに対応し、⑵また苦情等に対しては会社が適切・迅速に対応することが求められます、
その他、ここでは詳細を割愛しますが、外国への個人情報の提供や匿名加工情報についてのルールも、法律により規定されています。またこれらの法令遵守については個人情報保護委員会が監督を行うこととされ、一定の場合には罰則の適用がありますので、注意が必要です。
上記の内容を踏まえて、これから社内で個人情報の保護に関する体制を構築しようとする場合には、個人情報保護法を参照することは勿論のこと、施行令や施行規則などの関係法令に目を通す必要があり、また、厳密には法令ではありませんが、個人情報保護委員会が公開しているガイドラインや、特定分野について公開されているガイダンスなどの情報を参照する必要があります。
その上で、具体的には従業員の雇用契約書や就業規則を始めとする内部規則・苦情申出窓口の設置など、既存の制度の見直しを行ったり、あるいは従業員に対する意識醸成のため従業員教育を行ったりする必要が出てくることが予想されます。これらの体制整備や従業員教育について、いまだ対策が採られていないという場合には、お早めに専門家にご相談されることをお勧め致します。
