法務
2020/1/23
中小企業がやるべき個人情報管理と個人情報保護法対応
![[中小企業がやるべき個人情報管理と個人情報保護法対応]トップ画像](https://cdn.2nd-pro.com/media/969c7019d452c232683763414b6a1577_s.jpg)
2019年、就活生の個人情報が採用側の複数の大企業と大手就職支援企業との間で不正にやりとりされ、公取委や担当官庁から行政処分等を受けるという事件がありました。大企業や有名企業でありながら個人情報保護への意識の低さが露呈したのです。中小企業といえども、個人情報管理をおざなりにし、個人情報を不正に利用したり漏洩したりすれば一挙に信用を失います。ここでは、中小企業に向けて個人情報管理と個人情報保護法についてわかりやすく解説します。
今回は、中小企業の情報管理責任者から寄せられる個人情報の取り扱いについて、企業法務や個人情報保護、情報漏洩防止対策に詳しい朽木鴻次郎氏がお答えします。
中小企業からのよくある質問
個人情報保護法への対応として、個人情報管理を強化したいと思っているのですが、何から手を付けたらよいかわかりません。やり方やポイントを教えてください。
この質問に回答する専門家
企業研修講師(フリーランス)
朽木 鴻次郎
一橋大学法学部卒業後、数社での経験を経て、2004年から任天堂勤務。国内外のサプライチェーンでのCSR/法令遵守推進活動に従事の後、2018年退職。一貫して法務畑。
目次
個人情報保護法と最近の動向
とはいえ、冒頭で紹介した、2019年に企業が就活生の個人情報を不正利用した事件に見られるように、個人情報保護はまだまだ十分とはいえない状況です。公取委や個人情報保護委員会、各業界の監督官庁は、個人情報の保護について、監視の目を今後ますます厳しくしていくことでしょう。2020年には「個人情報を使わせない権利」を保護法に明記することも検討されています。
昨今、GAFA(グーグル、アップル、フェイスブック、アマゾン)と呼ばれるインターネットの巨大プラットフォーマーは、収集した個人情報をもとにさらに強大に変貌を遂げています。一方で、米国やEUは保護法を強化し、企業による個人情報保護の徹底と、過剰な利用を制限しています。そうして巨大プラットフォーマーを牽制し、対抗しようとしているのです。
そんな最近の動向は、中小企業にとっても無関係ではありません。例えばある外国において営業活動を行なっていたり、当該外国に顧客が居住していれば、その外国の保護法が日本の企業に及び、違反に対しては莫大な罰金が科せられることになるのです。その一例がEUの「一般データ保護規則(GDPR:General Data Protection Regulation)」です。2018年5月から適用開始となり、日本でも多くの企業が対応に追われました。
個人情報とは
保護法は「個人情報」を次のように定義しています。
- 1.生存する個人に関する情報で
- 2.そこに「ひもづけ情報」が含まれていることで
- 3.個人が特定できるもの
【注】日本の保護法では「生存する」個人に限定されていますが、亡くなった個人の情報も生存する個人の情報と同等に扱うべきです。
個人を特定できるひもづけ情報とは次のものを指します。
- 1.単体で特定できるもの(姓名など)
- 2.合わせ技で特定できるもの(姓と住所など)
- 3.身体的特徴(指紋、掌紋、虹彩、DNAなど)
- 4.個人識別番号(マイナンバー、パスポート番号など)
例えば、名刺には氏名があり、勤務先と連絡先が記載されているので保護法上の個人情報にあたります。
一方で、お客様の姓名を記載せず「A-様、50代後半、乗用車購入履歴:2011年ホンダ、2020年フォード」と記載した顧客リストは、それだけでは個人情報にはあたりません。ただ、別資料で、「A-様:朽本鴻三郎」(単独で特定できるひもづけ情報)または「A-様:朽本氏、〇〇県〇〇市 1-1-1」(合わせ技で特定できるひもづけ情報)などと名簿を作っている場合、その名簿と顧客リストはセットで個人情報になります。
要配慮個人情報について
- 1.人種、信条
- 2.身体障害、知的障害、精神障害等
- 3.犯罪履歴、被疑者または被告人となったこと(有罪でなくても)
- 4.非行少年またはその疑いがある者とされたこと
- 5.犯罪の被害者となったこと
- 6.健康診断等の検査結果、保健指導や診療の内容、使用薬剤の情報
【注】ハンドブック等によれば、民事の裁判歴や離婚などの婚姻歴は要配慮個人情報とされていません。しかし、センシティブな情報の取り扱いという実務的観点からは、ハンドブック等よりも要配慮個人情報の範囲を広げておくべきだと思います。
個人情報に関わる三つの局面
個人情報に関わる局面は三つあります。まず最初は、本人(個人)との関係で個人情報を取得する局面です。次は、個人情報を自社で管理する局面です。そして最後は、第三者に提供する局面です。
次に、個人情報を管理する局面では、情報セキュリティの三要素「機密性、安全性、可用性」を十分に確保することが大切です。本人からの照会があったときには、変更(アップデート)や削除の要求に応じる等の対応が求められます。
【注】現行の保護法では、原則として削除要求に応じる義務はありませんが、将来の改正が検討されています。
最後に、個人情報を第三者に提供する局面では、予め取得の局面で「第三者に提供する」ことについて、本人が選択する同意を取り付けておく(オプト-イン)対応が必要です。そして、第三者への提供の目的に反しない限り、できる限りその本人が特定されないような「匿名加工」を施すことが望ましいです。
ちなみに、名簿販売業者等の特別な場合を除き、取得した個人情報を第三者に提供するためには、予めその本人に明示し、本人から「第三者提供はイヤだ」と言われた場合にのみ行わない方法(オプト-アウト)で足りるというのが現行の保護法の定めです。
【注】現行の保護法では、匿名加工が必須なのは要配慮個人情報に限られます。しかし、国内外の動向を考えると、日本のこの現行保護法の定めは少し限定的すぎると思われます。
個人情報の管理にあたって
個人情報の取り扱いは、「情報の取得」「分類」「利用と保管」「廃棄」という通常の情報セキュリティの流れに則っていればよいでしょう。
将来を見据えた対応をし、実務の際には専門家へ
冒頭に触れたように、今後、日本を含めた各国の個人情報保護法はより一層厳格なものへと変化していくでしょう。ですから、我々は、現行の日本の保護法の定義や規定に頑なにとらわれることなく、将来の厳格化を見据えた対応をすることが望ましいといえます。
最後に、本記事では、解説の便宜上、保護法に使われている「個人情報、個人データ、保有個人データ、個人情報データベース等」や「事業者、個人情報取り扱い事業者」等の用語の細かい区別は行っていません。実務で個人情報の取り扱い対応にあたられる際には、必ず、専門家の助言も得るようにお願いいたします。
専門家紹介
企業研修講師(フリーランス)
朽木 鴻次郎
専門分野
□ コンプライアンスを専門分野としている。
□ 「職場でのいじめやいじり対策」「職場でのハラスメントの防止」「パワハラをしないためのアンガー マネジメント 」などの領域に加え「情報漏洩対策」「SNSで不適切な言動をしないために」「ビジネスパーソンのための法務入門」など企業法務全般に詳しい。
□ 職場でのいじめやいじり、ハラスメント相談事例への対応も多数。
自己紹介
84年一橋大学法学部卒業後、数社での経験を経て、04年から任天堂勤務。岩田社長と共にDS/3DSシリーズ、Wii/Wii Uのなどの立ち上げに従事、その後Switchの立ち上げに関わるとともに国内外のサプライチェーンでのCSR/法令遵守推進活動に従事。
18年に任天堂退職後は、様々な企業や自治体で研修プロ講師として活躍中。一貫して法務畑。1960年(昭和35年)生
・この専門家の他の記事をみる
・このカテゴリーの他の記事をみる
