2017年5月30日より中小企業にも適用となる個人情報保護法

2020年1月28日

 個人情報保護に対する意識はかなり高まっており、ひとたび個人情報が流出すると大きな社会問題となることも少なくありません。
 その結果、企業としてこれまで築き上げた信頼を失ったり、損害賠償として多額の費用の支払うなどの事態も見受けられます。企業の個人情報の取扱いについては個人情報保護法で定められていますが、2017年5月30日に改正個人情報保護法が施行され、これまで適用除外とされてきた保有する個人情報が5,000人以下の企業も同法の適用となります。
 そこで、今回は個人情報保護法の内容と施行に向けて必要な準備ついて解説しましょう。

1.個人情報保護法とは

 個人情報保護法とは企業の個人情報の取扱いを定めた法律です。この「個人情報」とは生存する個人に関する情報で、人物が特定されるものを指します。例えば従業員Aの氏名、住所、連絡先など企業が管理している情報は、それらにより従業員Aを特定することができるため、従業員Aの個人情報となります。
 まもなく5,000人以下の企業も対象となることで、極端なケースでは従業員を1人も雇用していなくても、顧客の個人情報を1件でも保有していれば、個人情報保護法に基づいた取扱いが必要になります。

2.企業に求められる行動

 個人情報の取扱いについて必ず押えておきたい項目として以下の5点があります。なお、以下では商品を販売するときの事例を挙げていますが、従業員の個人情報を人事労務管理のために利用する場合も同様に考えることになります。

  1. 個人情報の取得時には、その利用目的を決めて、本人に伝える
     例えば、お客様の個人情報を利用するにあたっては、購入商品の発送のためなど、あらかじめ利用目的を特定しておきます。また個人情報を取得する際は、この特定した利用目的を本人に伝えるか、あらかじめホームページや店頭で掲示するなど公表しておく必要があります。
  2. 取得した個人情報は決めた目的以外のことには使わない
     取得した個人情報は特定した利用目的の範囲でしか利用が認められないため、例えば、商品を発送するためという目的で取得したお客様の個人情報を使って、自社の商品を宣伝することはできません。そのため、既に取得した個人情報を特定した目的以外で利用する場合は、あらかじめ本人の同意を得る必要があります。
  3. 取得した個人情報を安全に管理する
     個人情報をエクセルなどでまとめデータベース化した場合、そのデータを安全に管理する必要があります。具体的にはファイルにパスワードを設定したり、ウィルス対策ソフトをインストールするなどの対応があります。また従業員が個人情報を取扱う場合、私的に使ったり、その内容を言いふらしたりしないように社内教育を行っておきましょう。
  4. 個人情報を他人に渡す際には、本人の同意を得る
     原則として、個人情報を他人に渡す場合、本人の同意が必要です。ただし、警察からの照会など法令に基づく場合や災害時など人命に関わる場合で、本人から同意を得ることが困難な場合や、配達業者に商品配送を委託する場合等に限っては、本人の同意を得なくても、個人情報を他人に渡すことができます。
  5. 本人からの「個人情報の開示請求」に応じる
     会社が保有している個人情報について、本人から開示や訂正等を請求された場合、その対応が必要になります。併せて、その個人情報の利用目的を問われた際には、答えられるようにしておくことが求められます。

 企業として、まずは上記5点について実施できているかのチェックを行い、問題のある項目については施行日までに改善しておきましょう。併せて、個人情報の取扱いについて遵守しなければならないことをまとめ、社内規程を整備しておくとより現場へ浸透しやすくなります。

■参考リンク

個人情報保護委員会「改正法の施行準備について」
https://www.ppc.go.jp/personal/preparation/

※文書作成日時点での法令に基づく内容となっております。