個人情報保護法とは?改正後に中小企業が知っておくべき注意点

個人情報保護法の記事
メディアでよく目にする個人情報保護法。個人情報保護法は、知っているようで意外と知らない法律です。記事では、個人情報保護法の概要や目的を分かりやすく解説します。個人情報保護法改正により、中小企業はどのように対応すべきかといった点についても説明していきます。
目次

個人情報保護法とは?

個人情報保護法は、個人情報を取り扱う事業者に対して個人情報の扱い方を定めた法律で、2005年に施行されました。正式名称は「個人情報の保護に関する法律」といいます。

個人情報保護法の目的

個人情報保護法の目的は次の2つに分けられます。


1. 個人情報の保護
2.個人情報の有効活用

個人情報を扱う事業者には、個人情報を保護する義務が課せられます。個人情報を漏洩してしまうと、個人情報が第三者の目に触れて、不当なビジネスへの利用や犯罪など、悪用されてしまう恐れがあります。そのため、個人情報保護法により事業者が個人情報を保護することを定めているのです。

次に、個人情報の有効活用というのは、事業者は個人情報を本業以外のところで使ったり、売ったりするのではなく、事業として有効に扱うことを意味します。個人情報保護法では、事業者に個人情報を活用してはいけないと定めている訳ではありません。正しく、本業に活かすことは認められているのです。

個人情報とプライバシーとの違い

個人情報とプライバシーという言葉は、何気なく使っていますよね。しかし、個人情報とプライバシーには違いがあります。

個人情報とは生存する個人に関する情報をいい、個人を特定できる情報という意味です。氏名、住所、電話番号、勤務先などが個人情報に該当します。

一方、プライバシーは個人の私事を侵害されない権利という意味です。つまりプライバシーは情報そのものだけをいうのではなく、情報を知られることによって個人の私事を侵害されない権利ということができます。メールアドレスはもちろんのこと、メールに書かれた内容を第三者に見られることもプライバシーの侵害です。

個人情報保護法には、プライバシーに関する規定はありません。しかし、事業者が個人情報を守ろうとすればプライバシーを守ることに繋がるため、個人情報保護法とプライバシーには密接な繋がりがあります。

改正個人情報保護法のポイント

個人情報保護法は2017年に改正され、中小企業も個人情報保護法の対象となりました。法が改正されたことにより、中小企業はどのように対応すべきか、注意点は何かといった点を解説します。

改正後に中小企業が注意すべきこと

改正前、扱っている個人情報が過去6か月間において5,000人を超えない中小企業について、個人情報保護法は対象外としていました。しかし、2017年の改正によって、中小企業も個人情報保護法の対象となりました。

個人情報保護法改正により、中小企業はどのような対応をしなくてはならないでしょうか?

改正により、中小企業は、個人情報の本人や関係者の求めに応じて利用目的の通知や内容の開示に応じなくてはなりません。あるいは、利用停止に対応する義務が生じます。また、労働者を雇用している中小企業はマイナンバーを扱う個人情報取扱事業者に該当し、マイナンバーを管理する必要が出てきます。個人情報取扱事業者については次の項目で説明します。

個人情報取扱事業者とは

個人情報取扱事業者とは、データにより個人情報を管理している全ての事業者をいいます。個人情報をデータ管理していない事業者は稀だと思いますので、実質的には全ての企業が個人情報取扱事業者となります。

個人情報取扱事業者が守るべきルール

個人情報取扱事業者は、個人情報を漏洩しないようにルールを守らなくてはなりません。個人情報取扱事業者が守るべきルールは次の通りとなります。


1.個人情報に対して、利用目的以外に使用してはならない
2.不正な手段を用いて個人情報を取得してはならない
3.個人データを最新の状態に保つよう努力しなくてはならない
4.個人情報を第三者に提供する時は本人の同意を得なくてはならない
5.個人情報の安全管理のために適切な措置を講じなくてはならない
6.個人情報を取り扱う従業員を監督しなくてはならない
7.個人情報の取り扱いを委託する時は、委託先を監督しなくてはならない
8.本人(代理人)から要求があった時は、個人情報の開示・訂正・追加・削除などに応じなくてはならない

以上のルールは個人情報保護法に基づくものであり、中小企業も守る義務があります。

個人情報の取扱いのチェックポイント

個人情報保護法に基づき、企業はどのように個人情報を取り扱うべきか5つのポイントで解説していきます。

個人情報を取得する

個人情報を取得する時は、なぜ個人情報を取得するのか利用目的を明らかにします。明らかにした利用目的は、公表するか本人に知らせる必要があります。

個人情報には、他者から見て偏見が生じる情報もあります。例えば、人種・信条・社会的身分・病歴などです。そのような個人情報(要配慮個人情報)については、企業は特に配慮を示し、本人の同意を得てから情報を取得するようにします。

個人情報を利用する

企業は、取得した個人情報を自由に使って良い訳ではありません。企業は、利用目的の範囲に限って個人情報を利用することができます。仮に利用目的以外に個人情報を利用する際には、本人の同意を得ない限りは利用することができません。

個人情報を保管する

取得した個人情報の保管には十分に配慮して下さい。個人情報が漏洩しないよう適切に保管する必要があります。例えば、データにはパスワードをかけたり、個人情報を扱う対象者が個人情報の入ったキャビネットの鍵を保管したりするといった配慮が必要です。

個人情報を第三者に渡す

個人情報を第三者に渡す際は、本人の同意を得ない場合は渡してはなりません。ただし、第三者は、業務の委託・事業の承継・共同利用の場合を除きます。

本人から個人情報の開示を求められる

本人から個人情報の開示・訂正・追加・削除などの要求があった時、企業は対応しなくてはなりません。個人情報の取り扱いに対して苦情を受けた時、企業は適切に、かつ、迅速に対応する必要があります。

企業は、個人情報を扱う企業・個人情報の利用目的・個人情報の開示の請求手続きの方法・苦情を伝える時の連絡先などといった情報については、自社サイトに公表し、あるいは照会があった時に直ぐに答えられるようにしておいて下さい。

以上が、個人情報を取り扱う時の5つのチェックポイントになります。自社の個人情報の扱いはどうなのか確認しておきましょう。企業の個人情報の取り扱いに際しては、従業員に対して個人情報に関する教育研修を行うといった対策も必要です。

ウェブサイトにプライバシーポリシーを作成する

企業は、個人情報をどのように扱うのか、取得の方法は適切か、個人情報保護に関して消費者や顧客が安心できるよう、自社ウェブサイトにプライバシーポリシーのページを作成しておきましょう。企業は個人情報保護方針を設定し、プライバシーポリシー内に公表します。

プライバシーポリシーでは、個人情報保護法に基づき、個人情報取扱事業者の名称・個人情報保護管理責任者・個人情報を取得する際の利用目的の公表等に関する事項・個人情報に関する苦情の受付窓口といった点を公表し消費者や顧客に信頼してもらえるようにします。

まとめ

個人情報保護法は新しく施行された法律です。当初は大企業のみが対象となっていましたが、個人情報保護に関する国民の意識の高まりにより、中小企業も個人情報保護法の対象となりました。個人情報を積極的に扱うマーケティングや営業などの部門のみならず、全社員が個人情報保護に対する意識を持つことが重要となります。

よかったらシェアしてね!
目次