個人情報保護に対応できていますか

中小企業診断士　木村孝史

個人情報保護法は、個人情報を取り扱う事業者が守るべき個人情報の取り扱いを規定した法律です。情報通信技術の発展により個人情報を活用した便利なサービスへの需要が高まる一方で、個人のプライバシーに対する不安や権利侵害の危険性を背景に2005年4月に施行されました。

個人の消費者を対象に商品・サービスを提供されている事業者であれば保護と活用の両立を図ることができていると思われますが、これまでBtoB事業だったがコロナ禍を経て新たな収益源を確保するために消費者を対象としたBtoC事業に新規参入する事業者にとっては、社内外に対してどのように対応していけばよいのか戸惑いや理解不足があるかもしれません。

2015年の大幅改正の中で3年ごとの見直し規定が設けられ、2020年にこの規定に基づく改正が行われていますが、産業のグローバル化の進展やAI・ビックデータの活用が加速する中で今後も改正が見込まれます。個人情報の漏洩がしばしばニュースでも採り上げられ、罰則強化も図られてきています。社会的信用を失わないためにも、まずは、後述する基本的な内容を理解し、情報管理に取り組みましょう。

個人情報は、氏名や生年月日、電話番号、銀行口座番号などだけでなく、個人を識別できる運転免許証の番号や、顔の画像、指紋認証データ、メールアドレスなども含まれます。

目次や索引を付けたりPCを使用したりして、特定の個人情報を検索できるよう体系的に整理した情報の集合物が個人情報データベース等です。名簿などの個人データベース等を構成する個人情報が個人データです。

個人情報データベース等を事業のために継続利用している事業者が該当します。

以前は5,000件以下の範囲で個人情報を取り扱う場合には該当しませんでしたが、2015年改正で本要件が撤廃されたことで、中小企業者も対応せざるを得ない状況となっています。なお、改正法の附則には、小規模事業者の事業活動には配慮する記載があり、鍵のかかる引き出しで管理するなどの負担軽減の余地もあるようです。

利用目的は営利・非営利に関係なく、事業者は法人・個人を問わないため、学校のクラス名簿や社員名簿も対象となり、医療機関や個人事業主、NPOや自治会・町内会でも取扱事業者とみなされます。

以下の基本的なルールを守りましょう。

(1)取得・利用(勝手に使わない)

個人情報の利用目的を特定して予め公表することが必要です。具体的には、「当社新商品ご案内の送付のため」や「当社商品の配送及びアフターサービスご案内のため」などの説明により利用することをメールやホームページでお知らせします。

(2)保管・管理(なくさない・漏らさない)

個人情報の取り扱いの基本的なルールを決め、社内の安全管理措置を講じる必要があります。具体的には、出力紙なら鍵のかかる引き出しで保管、PCならセキュリティソフトを導入しファイルにパスワードをかけて保管などのルールを社員に周知し、教育・監督を実施します。

(3)第三者提供(勝手に他人に渡さない)

国内外の第三者に提供する場合は、原則本人の事前同意が必要です。なお、データ入力や情報処理など提供元の利用目的のみの業務委託として提供する場合は第三者への提供とみなされず、本人の同意を得る必要はないとされています。しかし、提供元の監督義務として個人情報の取り扱い状況を把握しておく必要がありますので、業務委託契約書などで個人情報の取り扱いを定めておくとよいでしょう。

(4)開示請求への対応(本人の問合せに対応)

本人から請求があった場合は、保有している個人データについて、開示や訂正、利用停止などに対応する必要があります。

個人情報保護の対応については、まずは個人情報に接する社内担当や部署、業務を特定し、取り扱うことになりそうな個人情報の種類やそのボリュームを把握しましょう。その上で、個人情報の基本方針策定や監視を行う機関である個人情報委員会が公開している「取扱要領例」などを参考に、会社全体の基本方針や業務マニュアルを作成して共通の理解で運用していくことをお勧めします。

ホームページをお持ちでしたら、利用目的や安全管理の措置、個人データの開示や連絡先など、個人情報の取扱いを規定した「プライバシーポリシー」を掲載し、法令を遵守する体制をお示しください。当社の商品購入時やメルマガの配信申込などを通じて日常的に個人情報取得のタイミングがあるのであれば、当社の個人情報の取り扱いへの同意のチェックボックスを設置して事前承諾を得る設定にして、再購買や情報提供などの販売促進に利用できるようにしましょう。

以上