著作権や商標、IT・知財法務にお困りなら
お気軽にご相談ください
お気軽にご相談ください
著作権や商標、IT・知財法務にお困りなら
お気軽にご相談ください
個人情報保護法とは?企業が押さえるべき実務対応とリスク
「個人情報保護法とは、どのような決まりなのだろうか」
「個人情報保護法とは?詳しい内容がよく分からない」
そう感じたことはありませんか。
ビジネスの現場において、お客様や従業員に関する情報の取扱いは、信用に直結する問題です。社会的責任の意識が高まり、リスク管理や外部への責任が問われる時代です。
背景には制度の強化や世論の変化があり、誤った対応は、ブランドイメージの低下やトラブルを招くおそれもあります。
本記事では、基本的な仕組みから、実務上で企業が意識すべきポイントまでを分かりやすく説明します。
個人情報保護法とは?なぜいま重要視されているのか
弁護士
野俣 智裕
ここでは、目的や背景、そして企業において注目される理由について解説します。
目的
個人のプライバシーを守るために、企業等に「情報の正しい扱い方」を求めるものです。便利なサービスの裏側では多くの情報がやりとりされるようになった今、その活用と安全性の両立が必須です。
中小企業も含めて適用される時代背景がある
以前は、個人情報を一定以上取り扱う事業者にのみ適用されていましたが、2017年に法改正があり、1件でも扱えば対象に変わりました。つまり、顧客管理や採用活動を行う中小企業・個人事業主も対象であり、「うちは小さい会社だから関係ない」とは言えないのです。
顧客・従業員情報の管理が信用に直結する理由
一度でも漏洩等のトラブルを起こせば、顧客や取引先からの信頼は大きく損なわれます。特にSNS等で炎上すれば、企業ブランドが深刻なダメージを受ける可能性もあります。逆に、しっかりした管理体制を整えていれば、信頼獲得につながります。
個人情報保護法における主要な定義
弁護士
野俣 智裕
ここではよく使われる用語について解説します。
個人情報とその分類
生きている個人に関する情報で、氏名・生年月日・連絡先等特定の個人を識別可能なものを指します。
個人識別符号
顔認証データ、指紋、マイナンバーなど、特定の個人を識別できる符号です。最近見かけるスマホの顔認証でロック解除される仕組みも、こうした符号を活用しています。
要配慮個人情報
人種、信条、病歴、身体障がい、前科など、特に取扱いに注意を要する情報です。得るには、原則、本人の同意が要ります。例えば、従業員の健康診断結果を人事部が扱うときは、このカテゴリーに含まれます。
個人情報データベース等とは
検索できるようにまとまりのある状態になっている個人情報を含むもののことです。紙媒体やExcel管理でも条件を満たせば該当します。
個人データ
個人情報データベースに含まれる情報です。社内で日常的に扱われる顧客や従業員等のデータはこれに該当します。
保有個人データ
ざっくりいうと、自社で管理している個人データのことです。例えば、過去の勤務評定などが該当します。
個人情報に関する基本ルール
弁護士
野俣 智裕
ここでは、企業が守るべき個人情報の取扱いルールを解説します。
利用目的の特定
個人情報を取得する際は、何のために使うのかという「利用目的」をできるだけ具体的に決めなければいけません。
利用目的による制限
取得した個人情報は、あらかじめ定めた目的の範囲内でしか使えません。登録のために集めたにも関わらず、別の広告会社に渡すといった使い方は、原則してはいけません。
不適正な利用の禁止
本人に不利益を与えるような使い方や、差別・不当な取扱いにつながる使い方をしてはいけません。例えば、病歴や出身地をもとに採用選考で不利に扱うといった行為です。
適正な取得
正当な手段で取得しないといけません。盗み見やだまし取りなど、不正な方法によって集めた情報は適正取得とは認められず、重大な問題になります。
利用目的の通知や公表
個人情報を取得した際には、利用目的を本人に通知するか、公表しないとなりません。
苦情への対応義務
個人情報の取扱いに関して本人から苦情があった場合、企業は適切かつ迅速な対応が求められます。
また、苦情対応を円滑に進めるための体制整備も努力義務として定められており、窓口の設置やマニュアル整備、社内教育の実施などが求められます。
個人データに関するルール
弁護士
野俣 智裕
ここでは、取扱いに関する基本的なルールを説明します。
正確性の確保
正確かつ最新の状態を維持するよう努めなければなりません。長期保管している情報の定期的な見直しも含まれます。
安全管理措置
漏洩や紛失を防ぐため、アクセス制限や暗号化、施錠保管などの措置を講じなければなりません。顧客名簿を共有のUSBで持ち歩き、紛失してしまったというような事例は過去に何度も起きています。
万が一の事態が起きても被害を最小限に抑えられるよう、実務に応じた管理体制の構築が求められます。
従業員の管理監督
社員による誤送信や漏洩を防ぐため、教育や監督が必要です。定期的な研修や誓約書をとることも有効でしょう。
委託先監督
業務委託先に個人データを取り扱わせる場合は、契約や監督を通じて安全管理措置が確保されているか確認しなければなりません。
情報漏洩時の報告
漏洩などが発生した時には、速やかに本人及び個人情報保護委員会へ報告をしなければいけません。報告内容や対応記録の保管も求められます。
第三者提供に関する制限
原則として、個人データを第三者へ提供するには本人の同意が要ります。ただし、法令に基づくケースや、本人の生命・財産の保護、学術研究などの一定のケースでは、同意なしで提供可能な例外も設けられています。
外国への提供時の追加説明義務
外国の第三者に個人データを渡す際は、本人への事前説明と同意が原則必要です。EUなど保護水準が十分な国や、法令に基づく場合は例外として認められます。
第三者提供の記録作成と保存義務
提供・受領の事実について、作成し、一定期間記録を保存しなければいけません。システムや帳簿での記録管理が要ります。
第三者から個人データを受け取る際の確認義務
他社から個人データを受け取るときは、「誰から・どのように取得されたか」を事前に確認し、記録を残さなくてはなりません。
保有個人データに関するルール
弁護士
野俣 智裕
ここでは保有している個人データに関するルールについて解説します。
公表等
保有個人データの取扱者・代表者の氏名や利用目的や取扱体制等を、本人が確認できるようにしなければいけません。
利用目的通知
企業は、本人から「このデータは何のために使っているのか?」と聞かれたら、基本的に理由を伝える必要があります。
でも、次のような場合は、通知しなくてもよいとされています。
- 伝えることで誰かの命や財産に危険があるとき
- 会社の正当な利益を守るために必要なとき
- 国や自治体の仕事に支障が出るおそれがあるとき
- 使い道が見てすぐに分かるとき
開示
本人は、自分の保有個人データの開示を請求できます。企業は原則として開示義務がありますが、第三者の権利侵害や法令違反のおそれがある場合などは、開示を拒否できます。
訂正など
本人は、保有個人データに誤りがあると感じた場合、訂正・追加・削除を請求できます。企業は調査の上、必要に応じて訂正等を行い、その結果を本人に伝えなければなりません。
利用停止等
本人の同意を得ずに違法に取得された場合や、目的と異なる使い方をされた場合等、不正に取得された個人データの利用停止や削除を求めることができます。また、第三者への提供について法令違反があった場合には、その提供を停止するよう請求も可能です。さらに、利用目的が失われた場合にも、利用停止や提供停止を求めることができます。
理由説明
開示請求等の求めに対し、事業者が措置をとらない、または一部のみ対応する場合には、その理由を本人に説明しなければなりません。
手続きの整備
企業は、本人からの開示などの請求に備えて、受付方法や対応手順をあらかじめ定めておくことができます。請求を円滑に処理するための体制整備といえます。
違反した場合のリスク
弁護士
野俣 智裕
ここでは、違反した場合のリスクについて解説します。
行政措置
個人情報保護委員会からの報告や立入り検査、指導や助言、勧告、命令といった行政措置を受ける可能性があります。命令違反には罰則も科されます。
刑事罰
悪質な漏洩や不正取得があった場合には、個人情報保護法違反として、拘禁刑や罰金などの刑事罰が科されることもあります。
まとめ
基本ルールを理解し、適切な実務対応を取ることでリスクを最小限に抑えることが求められます。法令違反による信頼失墜や制裁を避けるためにも、今一度、自社の管理体制の見直しが大切です。不安を感じる方は、ぜひ当事務所までお気軽にご相談ください。
