改正個人情報保護法への対応(第1回)目的と6つのポイント
改正個人情報保護法は平成27年9月に成立し、施行が平成29年5月30日からとなります。この法改正によって、一番の大きな影響は、全事業者が当法律の対象になるということです。準備は整っておりますでしょうか。
ここでは、中小企業事業者*1が対応すべき概要と対策の入門編として、何回かに分けて、掲載していきたいと思います。
*1
従業員が100人以下であり、過去6か月以内のいずれの日にも5,000件を超えておらず、委託を受けて個人データを取り扱っていないもの
【中小企業事業者のための改正個人情報保護法への対応】
(第1回)改正の目的と6つのポイント
個人情報保護法と向き合ううえで、最初に目的を確認しておきましょう。
個人情報保護法は『個人の権利利益の保護』と『個人情報の有用性』のバランスを図るものとなっています。
やらされることばかりだと思わず、法律を正しく理解し、個人情報を適切に管理しつつ、経営に役立たせられるよう上手に活用していくことが大切です。
改正の主なポイントを以下の6つに整理しました。
具体的な取り組みに入る前に確認しておきましょう。
①全事業者が対象になった
現行では取り扱う個人情報が過去6か月以内のいずれの日においても5,000件を超えない事業者は個人情報取扱事業者ではなく、法律の対象外でした。しかし改正により、その条件が撤廃され、全事業者が対象になりました。中小企業事業者には安全管理措置の一部については履行し得るように簡易な例示をガイドラインには示してくれているのですが、一般的な取扱いについては、一定の対応が求められます。
②個人情報の定義が明確になった
「個人識別符号」「要配慮個人情報」などの用語が新たに追加されました。顔や指紋などのデータを個人情報として扱う必要があるなど、個人情報に該当するのかどうか曖昧であったところが明確に定義されました。
③個人の権利利益の保護策が強化された
目的での『個人の権利利益の保護』の側面です。個人情報を不正に持ち出して、データを名簿業者に販売するようなケースがあり、自分の個人情報がどこでどのように扱われているのか把握ができない状態になっています。そこで、第三者に個人情報を提供する場合には記録を取ることが義務付けられました。食品ではよく聞くトレーサビリティですが、個人情報にもトレーサビリティの確保が求められます。
④個人情報の有用性を確保するための整備が進められた
目的での『個人情報の有用性』の側面からであり、「匿名加工情報」という用語が新たに定義されています。例えば、マーケティング活動において、販売履歴(POSデータ)や鉄道の乗車履歴などは宝の山であり、販売促進に役立てたいというニーズがあります。ところが、そのデータをそのままで活用すると個人情報または個人を識別することができる番号が含まれていたりするため、プライバシーの侵害になってしまいます。そこで、事業者が個人データの利活用に躊躇する傾向があり、匿名化の基準の明確化が要請されていました。その加工方法などを明確にすることで、活用の幅が広がることが期待できます。
⑤監督権限が個人情報保護委員会に一元化された
各分野の主務大臣が監督権限を有していましたが、個人情報保護委員会に一元化されました。番号利用(マイナンバー)法の施行の際に、特定個人情報保護委員会と呼んでいたものが個人情報保護委員会に名称を改められました。
⑥直接罰および両罰規定が加わった
現行では、従業員等が個人情報を不正に第三者に提供したなどの場合であっても、実際にその行為をした従業員等に対して処罰することはありません。主務大臣からの勧告や命令を受けて、それに従わなかった場合に、6か月以下の懲役または30万円以下の罰金が科されます。事故が発生してもすぐさま罰せられるのではなく、いわゆる間接罰しかしかれていませんでした。
今後は、従業員等が不正な利益を図る目的で個人情報データベース等を提供、又は盗用した場合(個人情報データベース等不正提供罪)は、個人情報保護委員会からの勧告や命令を受ける段階がなく、直接罰となり、1年以下の懲役又は50万円以下の罰金が科されます。また、当該従業員等が所属する法人に対しても両罰規定として50万円以下の罰金が科されるようになります。
(第2回)に続く
