1 個人情報保護法とは
(1) 目的
個人情報保護法は、正式名称を「個人情報の保護に関する法律」といい、個人情報を取り扱う民間事業者及び地方公共団体の遵守すべき義務等を定める法律です。
高度通信化が進む現代社会において、個人情報の利用価値は高まってきている一方、個人情報の活用を自由に任せてしまうと消費者の権利利益が害されるおそれがあるため、このバランスをとって、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」(個人情報保護法1条)とする法律です。
なお、改正後においても民間事業者と行政機関等において個人情報データベース等と個人情報ファイルなど定義の異なるものや、匿名加工情報・非識別加工情報の取り扱いの相違等はあるものの、個人情報の定義については共通化されています。
この記事では、民間事業者の義務と対応方法について、わかりやすく解説します。
(2)概要
2021年(令和3年)に改正された新しい個人情報保護法は、次のような構成で作られています。なお、少しややこしいのですが、個人情報保護法は2020年(令和2年)にも改正されており、これらの全面改正は2022年(令和4年)4月から併せて施行されます。この全面改正により、これまで別個の法制により定められていた民間事業者と行政機関等の個人情報保護制度は、個人情報保護法に一本化され規制されることとなりました。
| 第1章 総則(1〜3条) 第2章 国及び地方公共団体の責務等(4〜6条) 第3章 個人情報の保護に関する施策等(7〜15条) ——————————————————————————— 第4章 個人情報取扱事業者等の義務等(16〜59条) 第5章 行政機関等の義務等(60〜129条) 第6章 個人情報保護委員会(130〜170条) 第7章 雑則(171〜175条) 第8章 罰則(176〜185条) |
第1章から第3章までは「基本法」的な規定であり、個人情報保護に関する基本的な理念や方針、推進体制などを定めています。第4章以降は、「一般法」としての規定であり、具体的な権利義務を定める規定です。
企業にとって重要であるのは、民間事業者に課せられる個人情報に関する義務を定めた第4章ということになります。第4章は、全部で44条ありますが、大きく分類すると、①個人情報の取得及び利用に関する規制、②個人データの管理に関する規制、③個人データを第三者提供する場合の規制、④本人から請求があった場合の規制、の4つに分類することができます。
(3)事業者が注意すべきこと
全ての事業者、経営者が絶対に知っておくべきことは、個人情報保護法で課される義務は、個人情報を取り扱う全ての事業者に適用されるということであり、大多数の事業者は何かしらの形で個人情報を取り扱っているということです。
そのため、何が個人情報に当たるのか、個人情報の取得や管理方法として気をつけるべきことは何か等を一度は把握しておく必要があり、自社の個人情報の取扱い体制が十分なものとなっているかを確認する必要があります。詳しくは、この記事の「5 企業が取るべき対応」で説明していますので、そちらだけでもご確認いただくことをお勧めします。
また、弁護士法人えそらでは、個人情報の取扱い体制の構築に関するサポートや社内研修などにも対応しておりますので、ご希望の事業者の方はお気軽にお問い合わせください。
2 個人情報・匿名加工情報・仮名加工情報
(1)個人情報
ア 法律上の定義
個人情報保護法上の個人情報とは、「生存する」「個人に関する」「情報」で、①それ自体で「特定の個人を識別することができる」もの、または、②「個人識別符号を含む」ものをいいます(個人情報保護法2条1項)。
大前提として、生存する個人に関する情報でなくてはいけませんので、死者の情報や空想上の人物の情報、法人の情報等は個人情報ではありません。ただし、死者の情報は遺族の個人情報となることもある点は注意してください。
イ 個人情報かどうかの判断
特定の個人を識別することができるものというのは、一般人の判断力や理解力によって、その情報と特定の具体的個人の間に同一性が認められるかどうかを基準に判断されます。
ここで気をつけなければならないのは、個人情報かどうかは、その保持者等の立場なども含めて判断されるものであることから、ある程度相対的なものになるという点です。
ウ メアドは個人情報か?
そのため、個人情報に関するよくある質問の1つとして「メールアドレスは個人情報に当たるか」というものがあるのですが、この回答はケースバイケースという回答にならざるを得ません。例えば、メール本文に送信者個人の氏名等が記載されている場合や、アドレス表記が「<馬場龍行>djkafjw@esola-law.or.jp」となっているような場合は、個人情報に当たります。また、メールアドレスそのものが「uamba_tatsuyuki@esola-law.or.jp」と氏名表記のようになっているものも、個人情報です。
他方で、「kohtb45698qda@djaoiha.jp」のように文字列だけからは特定の誰かを判別できないものは個人情報に当たりません。しかし、このような場合であっても、保持する顧客リスト等の他の情報と容易に照合でき、それにより特定個人を識別できる場合には、このようなメールアドレスも個人情報になります。ある事業者が、たまたまそのメールアドレスが誰のものであるか知っていたという場合も個人情報に当たると考えられます。
エ 個人識別符号
個人識別符号というのは、特定の個人を識別できる文字、番号、記号などの符号で、①特定の個人の身体の一部の特徴を電子計算機(コンピュータ)の用に供するもの、及び②個人に提供される役務や商品に割り当てられたり、個人に発行されるカードその他の書類に記載または電磁的方式により記録され、特定の利用者若しくは購入者又は発行を受けるもののうち政令で指定されるものをいいます(個人情報保護法2条2項)。
このように記載すると難しく見えるかもしれませんが、①は生体認証(バイオメトリクス認証)データが典型です。指紋、声紋、虹彩などが典型的ですが、以下のようなものが規定されています。
(個人識別符号)
第一条 個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋
個人情報の保護に関する法律令 | e-Gov法令検索
また、②については、運転免許証番号や旅券番号、個人番号(マイナンバー)等のことであり、政令では以下のものが規定されています。
(個人識別符号)
第一条 個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
二 旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号
三 国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号
四 道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号
五 住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード
六 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号
七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証
ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証
ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
個人情報の保護に関する法律令 | e-Gov法令検索
他方で、携帯電話番号やクレジットカード番号それ自体は個人識別情報としては指定されていません。
オ ほとんど全て個人情報
個人情報に関して注意すべき点として、文字情報だけでなく画像情報も含まれるため、ある写真から特定の個人が判別できればそれは個人情報ですし、防犯カメラに映る映像から個人が判別できる場合も同様です。また、既に公表されて世間一般に知られている情報も個人情報ですし、情報の内容に真実性がないとしても個人情報になります。さらに、事実情報だけでなく試験の合否や医師の診断などの評価情報も個人情報になり得ます。
こうしてみると、あらゆるところに個人情報は存在していますから、企業としては、単に営業部のみが注意すれば良いとか人事部のみが注意すれば良いというものではなく、全社的な取り組みが必要であるということになります。
カ プライバシーとの違い
個人情報とプライバシーの違いを理解していない事業者や企業もありますが、これは絶対に区別しておく必要があります。
プライバシーというのは、他人にみだりに知られたくない情報のことをいいます(最判平15.3.14、最判平15.9.12など参照)が、個人情報はこれらに限られないためその範囲はかなり広くなります。例えば、取引先の営業から受け取った名刺も個人情報となります。
したがって、「プライバシー情報といえるようなセンシティブ情報が個人情報」という考えや感覚でいると、大きな事故につながる可能性があるので、企業としては絶対に間違えないようにしてほしいところです。
プライバシー情報と比較的近い概念として、「要配慮個人情報」が個人情報保護法2条3項に定義されています。これは、個人情報のうち、①人種、②信条、③社会的身分、④病歴、⑤犯罪の経歴、⑥犯罪により害を負った事実、⑦その他本人に対する不当な差別、偏見その他の不利益が生じないように、その取り扱いに特に配慮を要するものとして政令で定める記述等が含まれるものをいいます。
(2)匿名加工情報(ビッグデータ)
匿名加工情報とは、特定の個人を識別することができないように特定個人情報を加工し、当該情報を復元できないようにした情報をいいます。識別できないよう加工するだけでなく、復元もできないようにした情報であることがポイントです。
匿名加工情報は、一定のルールの下で、本人の同意なく事業者間におけるデータ取引やデータ連携といったデータの利活用(ビッグデータの企業間活用)を目的として法定されたものです。
匿名加工情報を作成した事業者には、①適切な加工をする義務、②安全な管理措置を取る義務、③公表の義務、という3つの義務が課されます。また、匿名加工情報を取り扱う事業者が、作成元となった個人情報の本人を識別する目的で、ⅰ)自らが作成した匿名加工情報を、本人を識別するために他の情報を照合すること、ⅱ)受領した匿名加工情報の加工方法等の情報を取得することや、受領した匿名加工情報を本人を識別するために他の情報と照合するといった識別行為を行うことは禁止されています。
適切な加工とは、ⅰ)特定の個人を識別できる記述等の全部または一部を削除又は置換する、ⅱ)個人識別符号の全部を削除すること、ⅲ)個人情報と他の情報とを連結する符号を削除すること、ⅳ)特異な記述等を削除すること、ⅴ)上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講じることを意味します。
安全に管理する措置とは、ⅰ)匿名加工情報の加工方法等の情報漏洩の防止、ⅱ)匿名加工情報に関する苦情の処理・適正な取扱い措置と公表のことを意味します。
公表義務は、匿名加工情報作成事業者が、ⅰ)匿名加工情報を作成したとき、ⅱ)匿名加工情報を第三者に提供するときに課される義務です。匿名加工情報作成事業者は、匿名加工情報を作成したとき、その作成後遅滞なくホームページ等において当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければいけません。また、匿名加工情報を第三者に提供するときは、予めホームページ等において第三者に提供する匿名加工情報に含まれる項目及び匿名加工情報の提供の方法を公表しなければなりません。
(3)仮名加工情報
仮名加工情報とは、データ内の特定の個人を識別できる情報をガイドラインに従って削除または置換することで、他の情報と照合しない限り特定の個人を識別することができないように加工した情報のことをいいます。今回の法改正により追加されたもので、一定の条件の下で個人情報よりも規制を緩めて使い勝手をよくすることができる意味があります。
匿名加工情報がビッグデータの企業間活用を目的としているのに対して、仮名加工情報は、匿名加工情報よりも少ない加工で企業内部におけるビッグデータ等の利活用を促進する目的で法定されたものです。
仮名加工情報は、加工元となる個人情報や他の情報と照合することで特定の個人を識別することが可能であるため、仮名加工情報を取り扱う場合には、原則として個人情報を取り扱う際に発生する義務に対応しなければいけませんが、仮名加工情報だけでは個人を識別できないこと等の理由から、次のような義務の違いがあります。
| 個人情報 | 仮名加工情報 | |
| 識別目的での照合の可否 | 該当しない | 禁止 |
| 第三者提供時の本人同意取得の要否 | 同意必要 | 第三者提供してはならない |
| 削除義務等の安全管理措置 | 該当しない | 対応義務あり |
| 利用目的の変更に関する制限 | あり | なし |
| 本人からの開示・利用停止等の請求対応の義務 | あり | なし |
| 漏えい時の個人情報保護委員会への報告義務 | あり | なし |
3 民間事業者の義務
(1)義務の対象情報
個人情報保護法によって課される義務の対象となる情報は、個人情報、個人データ、保有個人データの三層構造を基本としています。順に、課される義務が重くなると考えてください。
個人情報については既に述べた通り、生存する特定個人を識別できる情報ですので、例えば名刺は個人情報になります。個人データというのは、個人情報は未整理のままバラバラになっていても使い勝手が悪いので、通常はデータベース化されます。このような個人情報をデータベース化したものに含まれる個人情報を「個人データ」として義務を上積みしています。利便性が高まる分だけ、義務も増えるということです。さらに、個人データの中で、個人情報取扱事業者に開示・訂正・消去等の権限があるものを「保有個人データ」といい、更に義務が上積みされます。
なお、保有個人データについては、従前は6ヶ月を超えて保有するものとされていましたが、今回の改正によって保有期間の要件は削除されているので注意してください。
(2)義務を負うのは誰か?
個人情報保護法が義務を負わせる対象は、当然といえば当然ですが、個人情報取扱事業者を基本としています。しかし、それだけではありません。この他にも、匿名加工情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者も一定の義務を負うこととなっています。なお、個人情報取扱事業者は、基本的には民間事業者に限られますが、国公立大学・病院については、私立大学・病院と同様に個人情報取扱事業者としての義務(本人からの請求への対応を除く)を課されています。
ここで、個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいい、個人情報データベース等とは、個人情報を含む情報の集合物(政令で定めるものを除く)のうち、①電子データベースのように特定の個人情報をコンピュータで検索できるように体系的に構成したもの、もしくは、②それ以外のものであって特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます。
小規模事業者への例外措置等もないため、対象事業者は、ほぼ全ての事業者と言っても過言ではないくらい、個人情報保護法は経営と切り離せない法律となっています。
(3)取得時の義務〜利用目的による制限
個人情報を取得する場合、できる限り特定した利用目的を設定する必要があります。特定は「できる限り」すれば良いとされていますが、「当社の行う事業活動のため」というのは広過ぎて特定不十分であると考えられています。
また、利用目的は、速やかに本人に通知又は公表しなければなりません。プライバシーポリシーなどを定めてホームページで公表しておくことで、本人への通知をする必要がなくなるため、多くの企業にとってプライバシーポリシーを策定して公表しておくことは大きな意味があります。
なお、偽りその他不正の手段によって個人情報を取得することはできませんし、要配慮個人情報を取得する場合には本人の事前の同意が必要です。
個人情報は利用目的の範囲でしか利用できないのは当然ですが、利用目的を変更する場合には、変更前と合理的に関連する範囲でしか変更することはできず、変更後の利用目的は通知又は公表しなければなりません。例えば、第三者提供に関してオプトアウトの記載が無かったものを有りにすることは不可です。
(4)保管時の管理義務
個人情報取扱事業者は、個人データの漏洩、滅失、毀損の防止のための安全管理措置を講じることが必要です。また、個人データを取り扱う従業者を監督すること及び個人データの取り扱いを外部に委託する場合、委託先をしっかり監督する必要があります。
個人情報取扱事業者の安全管理措置は、①組織的管理措置、②人的安全管理措置、③物理的安全管理措置、④技術的安全管理措置に分けられます。
組織的管理措置というのは、責任者の選任、規律の制定と運用、取扱状況を確認する手段の整備、漏えい等の事案に対応する体制の整備などをいいます。
人的安全管理措置というのは、従業員への定期研修や朝礼での呼びかけ等の教育、雇用時の契約又は誓約書の作成等です。約束してもらい、教育し、呼びかけていくということです。
物理的完全管理措置というのは、個人データを取り扱う区域の管理(管理台帳の整備)、PCやUSB等の盗難防止や漏洩防止策(施錠できるキャビネットへの保管や防犯カメラ等)、個人データの削除及び機器等の廃棄などです。
技術的安全管理措置というのは、アクセス制御やパスワードの設定、アクセス者の認証と識別、暗号化、外部からの不正アクセスや攻撃の防止(ウィルス対策)などをいいます。
(5)第三者提供時の義務〜オプトアウト
個人情報取扱事業者が保有個人情報を第三者提供する場合、原則として本人の同意が必要です。この同意は当該個人情報を第三者に情報提供するたびに個別に必要になるものではなく、包括的に取っておけば良いものです。とはいえ、このような事前の同意を得られないケースも想定されることから、次の場合には、事前同意は不要であるとされています。
ア 必要性が高く事前の同意取得に馴染まない場合
まず、法令に基づく場合、生命・身体・財産の保護の必要があり同意取得が困難な場合、公衆衛生・児童の健全育成の必要があり同意取得が困難な場合、国等の事務への協力の必要があり同意取得をすると事務に著しい支障が出る場合です。
イ 情報処理のための外部委託
データの打ち込み等、情報処理を委託するために個人データを提供する場合も事前の同意は不要です。
ウ 合併等の場合
合併等により事業承継する場合も事前の同意は不要です。
エ 共同利用の場合
グループ企業で総合的なサービスを提供するために情報を共同利用する場合も事前の同意は不要です。ただし、この場合、①共同利用する情報の項目、②共同利用者の範囲、③利用目的、④責任者の氏名を事前に通知又は容易に知りうる状態にしておくことが必要です。具体的には、プライバシーポリシーにこれを盛り込んでホームページ等に掲載するのが最も簡便です。
オ オプトアウト
上記の他にも、①個人データを第三者に提供する旨、②提供する当該個人データの項目、③提供方法、④本人の求めに応じて提供を停止する旨、⑤本人の求めを受け付ける方法を事前通知又は公表しておいて、かつ、個人情報保護委員会に届出しておくことで、事前同意なく第三者提供をすることができます。
ただし、要保護個人情報についてはオプトアウトによる第三者提供はできません。
(6)本人からの請求への対応
本人が自分の個人情報について、個人情報取扱事業者に対する請求権として、①利用目的の通知請求、②当該保有個人データの開示請求、③当該保有個人データの訂正請求、④当該保有個人データの利用停止請求及び第三者提供停止請求があります。当該個人情報取扱事業者がこれらの請求をする請求者に適切に対応すべきことは当然です。
また、上記に加え、個人情報取扱事業者は、①事業者の指名または名称、②利用目的、③本人からの請求に応じる手続、④苦情申出先、⑤認定個人情報保護団体に加入している場合にはその名称、苦情申出先について、本人が知りうる状態にしておく必要があります。
さらに、本人からの各請求に応じない場合には、その理由を説明すべきこととされ、苦情に対しては適切かつ迅速に処理すべきこととされています。
4 2020・2021年改正ポイント
今回の個人情報保護法改正の改正点については6つのポイントがありますので、この点を簡単に解説します。まず大前提として、これまで行政機関の個人情報の取り扱いについては行政機関個人情報保護法で定められるなど複数の個人情報保護法制となっていたが、今回の改正で個人情報保護法に一本化されました。その上で、さらに以下の6つが今回の法改正のポイントとなります。
(1)本人の権利保護の強化
改正前は、本人が個人情報についての利用停止や消去に関する請求をすることができ場合について、一定の違反がある場合に限られていましてが、改正法では、一定の違反がある場合はもちろん、本人の個人情報を取扱事業者が利用しなくなった場合、重大な漏えいなどが発生した場合、本人の権利利益または正当な利益が害される「おそれがある」場合、について、これらの請求権を認めることとして本人の権利保護を強化しています。
また、改正前は、保有個人データについて、6ヶ月以内に削除されるものは保有個人データとして取り扱わないこととして保有個人データについての義務を免れていましたが、改正法は、この6ヶ月要件を削除しています。また、保有個人データの開示方法について、改正前は原則書面による交付とされていましたが、改正法では、本人がデジタルデータでの提供を含めた開示方法を指定することができるようになりました。
さらに、個人データの授受について第三者提供記録の開示請求権が定められました。元々、個人情報取扱事業者が第三者に個人データを提供した場合には、記録簿をつけることが義務化されていましたが、この提供記録が開示対象に含まれるようになりました。
この他にも、オプトアウトについて、改正前は要配慮個人情報のみがオプトアウトによる第三者提供の対象外とされていましたが、法改正により、不正取得されたデータ、オプトアウト規定により提供された個人データについてもオプトアウト規定の対象外とされています。
(2)事業者の責務の追加
改正前は、個人情報の漏えいが発生した場合でも、個人情報保護委員会への報告は努力義務とされ、本人通知は法律上の義務とはされていませんでしたが、法改正により、漏えいや毀損が発生した場合に、個人の権利利益の侵害の恐れが大きい場合には個人情報保護委員会への報告が義務化され、本人への通知も原則義務化されました。
また、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア社が、いわゆる内定辞退率を提供するサービスに関して、提供元では個人データに該当しないものの、提供先において個人データとなることが予想される情報を本人の同意なしに提供する行為が問題視されました。これを受けて、改正法では、提供先で個人データとなることが想定される場合の確認義務の規定が新設されました(個人情報保護法26条の2)。なお、この規定については、元々存在した義務を確認的に規定したものとする考え方もあります。
さらに、改正前は明示されていなかった個人情報の不適正な利用の禁止について、違法または不当な行為を助長、誘発するおそれのある不適正な方法により個人情報を利用してはならないということが明文化されました(個人情報保護法16条の2)。
(3)事業者による自主的な取り組みを促す制度
個人情報保護法では、個人情報保護委員会のほかに、民間団体を利用した情報保護を図っており、認定団体制度を設けていますが、改正前は、企業全体についてを対象とすることしかできませんでしたが、改正法により、企業の特定の分野(部門)を対象とする団体を認定団体として認定できるようになりました。
これにより、多様化する業界実態やIT技術の進展に伴い重要性が増している、民間団体が特定分野における個人データの扱いに関する自主ルールを策定していくこと、より積極的に民間団体が対象事業者に対して指導していくことが可能になります。
(4)データの利活用の促進
改正前は、個人情報を単に仮名化した情報は引き続き個人情報であるという前提で、その取り扱いについて個人情報と同じ責務が課されていたため、企業にとっては使い勝手が悪かったといえます。今回の改正個人情報保護法では、個人情報の氏名を削除する等して仮名加工した情報を「仮名加工情報」として新たに定義し、利用に条件をつけつつ、本人からの開示請求や利用停止請求について個人情報よりは緩やかな取り扱いを認めました。
(5)ペナルティ(法定刑)の強化
今回の改正により、法人への罰金刑の上限が50万円だったものが1億円へ引き上げされるなど、ペナルティが強化されました。ペナルティの関係をまとめると以下の通りとなります。
| 懲役刑 (改正前) | 懲役刑 (改正後) | 罰金刑 (改正前) | 罰金刑 (改正後) | |
| 個人情報保護委員会からの命令への違反(行為者) | 6ヶ月 以下 | 1年 以下 | 30万円 以下 | 100万円 以下 |
| 個人情報保護委員会からの命令への違反(法人等) | なし | なし | 30万円 以下 | 1億円 以下 |
| 個人情報データベース等の不正提供等 (行為者) | 1年 以下 | 1年 以下 | 50万円 以下 | 50万円 以下 |
| 個人情報データベース等の不正提供等 (法人等) | なし | なし | 50万円 以下 | 50万円 以下 |
| 個人情報保護委員会への虚偽報告等 (行為者) | なし | なし | 30万円 以下 | 50万円 以下 |
| 個人情報保護委員会への虚偽報告等 (法人等) | なし | なし | 30万円 以下 | 50万円 以下 |
(6)外国事業者への報告徴収・立入検査などの罰則強化
改正前は、日本国内に住んでいる人の個人情報を取り扱う外国の事業者については、罰則によって担保された報告徴収及び命令の対象としていませんでしたが、改正により外国事業者も対象となりました。
また、改正前は外国事業者は対象外となっていた個人情報保護委員による立入検査についても、今回の改正個人情報保護法により対象となることとなりました。
5 企業が取るべき対応
ここまで個人情報保護法に定められた民間事業者の義務等を見てきましたが、じゃあ、何すればいいの?というのが率直なところかと思いますので、回答いたします。
(1)絶対!プライバシーポリシー作成
まず絶対にやるべきなのが、プライバシーポリシーの設定です。個人情報保護法では、事業者が、本人に事前に通知・公表、又は本人の容易に知りうる状態に置かなければならないとする事項があるのですが、これらは、基本的にはウェブページに掲載しておくことで足ります。この方法は、本人に通知等を行う方法に比べて漏れがなく、安価で迅速に対応できるという点で、個人情報保護法対策として非常にコストパフォーマンスに優れた方法です。逆に、これをやっていない事業者の場合、顧問弁護士としては事前の通知などをどのようにしているのかというのが気になって仕方ない部分です。ですので、個人情報保護法が公表等を求める事項については、プライバシーポリシーに組み込む形で自社サイト等に掲載することを強くお勧めします。
弁護士法人えそらでは、プライバシーポリシーの作成、改訂等のサポートも行っていますので、ご希望の方はお気軽にお問い合わせ下さい。
(2)体制整備と内部統制
「3(4)保管時の管理義務」でも述べましたが、個人データの保管管理の体制整備と内部統制のための措置を取ることも重要です。
絶対にやっておきたいのは、責任者の選任、従業員との秘密保持の契約、社内規定の作成、社内研修、パスワードによる漏えい等の防止です。
特に重要なのは、ずばり社内研修です。個人情報保護の感覚は、人によってまだまだまばらであり、コンプライアンスの意識にも大きな差があるのがむしろ普通です。そのため、経営者自身の知識や意識をアップデートしていくことは当然必要ですが、従業員の知識や意識もアップデートしていく必要があります。逆にいえば、企業内部の人の個人情報に対する知識や意識が向上すれば、自然とその他の措置は取られていくことになります。
従って、体制整備と内部統制の根本は、社内研修だと私は思います。もちろん、物理的安全管理措置等の対策を取っていくことも重要ですし、研修しっぱなしで何も動かないのであれば意味がありません。実際に、現状の把握、問題点の洗い出し、実務に即した
弁護士法人えそらでは、個人情報に関する社内研修、規定作成等のサポートも行っていますので、ご希望の方はお気軽にお問い合わせ下さい。
