企業研修、採用、評価、人材開発、労務・福利厚生のナレッジコミュニティ

『ビジネスガイド』提携

小規模事業者も5月30日から適用対象に!
個人情報保護法ガイドライン 会社の現状チェックと対策

弁護士 鈴木 雅人(弁護士法人 三宅法律事務所)

  • このエントリーをはてなブックマークに追加
INDEX
ページ1
I 中小規模事業者へのインパクト
II 何をすればよいのか?
ページ2
III 個々の対応内容について 1 前提事項を確認する準備行為として各事業者が共通して行わなければならない事柄
2 個人情報保護法の義務との関係で対応すべき事項 (1)~(3)
ページ3
(4)適法な第三者提供に向けての対応(本人同意原則との調整)
ページ4
(5)開示等請求への対 3 2を踏まえた文書化
4 従業員教育・体制整備後のメンテナンス
(この記事は、『ビジネスガイド 2017年3月号』に掲載されたものです。)

一昨年の平成27年9月3日、個人情報保護法が改正され、同月9日公布されました(以下、改正後の個人情報保護法を「改正法」という)。そして、今般、施行日が平成29年5月30日に確定しました。

改正法の個々の条文を見ていくと実質的に今回の改正が多くの民間事業者にとって「規制強化」としての面を持っていることがわかります。とりわけ、これまで一律に適用が排除されていた多くの中小規模事業者に対する影響は非常に大きなものがあります。

本稿では、個人情報保護委員会が昨年11月30日に公表したガイドラインの内容もご紹介しつつ、会社の現状チェックと対策のポイントを明らかにしていきたいと思います。

I 中小規模事業者へのインパクト

1 小規模事業者に対する一律除外規定の撤廃

photo

今回の改正法では、個人情報取扱事業者の定義から中小企業の適用除外を狙って規定されていた小規模事業者(データベース内の個人情報で識別される個人の数が過去6ヵ月間のいずれの日でも5,000を超えない事業者)に関する一律除外規定を撤廃しました。インターネット通販を行っている会社が典型例ですが、小規模の事業者が、クレジットカード情報のような重要情報を保有している例も見られ、情報の数で適用の有無を峻別することが適当ではないと考えられたこと等が改正の理由です。

これにより、中小規模事業者も遂に法の適用を前提に対応を考えなければならないこととなったわけです。そして、平成26年のベネッセコーポレーション顧客情報漏えい事件発生当時における世の中の状況などを振り返っていただければわかりやすいかと思いますが、近時、この種事案への世間の目も厳しく、ひとたび漏えいが起これば、激しい非難も巻き起こり、経営者が辞任を余儀なくされたり、巨額な賠償を実施せざるを得なくなるなど、一瞬で事業者自身の屋台骨を揺るがす事態に立ち至ることもありますので、遺漏なく対応しなければなりません。

2 中小規模事業者に「逃げ場」はないのか?

それでは、中小規模事業者に「逃げ場」はないのでしょうか。

個人情報保護法の定める各種義務が課されるのは「個人情報取扱事業者」と同法が定義している事業者ですが、これに当たらない方法はないものでしょうか。

改正法上、「個人情報取扱事業者」は、「個人情報データベース等」を業務の用に供している者をいう、と定義されており(改正法2条5項)「個人情報」は改正法2条1項に定義があり「当該情報に含まれる氏名、生年月日その他の記述等…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と「個人識別符号が含まれるもの」とがこれに当たると定められています。個人識別符号に当たるものには二つの系統があり、一つは指紋認識データ・顔認識データ・遺伝子データ・生体認証用の手の静脈データのように個人の身体の一部の特徴をコンピュータで処理するために変換した情報、もう一つは、マイナンバー、運転免許証番号、旅券番号、基礎年金番号、保険証番号など公の機関がその業務のために付したナンバーがこれに当たると政令で定められています。

以上の通り、基本的に生存している個人を特定できる情報を整理して使うとすべてこれに当たってしまいます。

一方、「個人情報データベース等」に関しては、(1)法令に違反することなく、不特定多数の者への販売目的で作成したもの、(2)不特定多数の者が随時購入可能、あるいは可能だったもの、(3)生存する個人の情報を加えることなく本来の用途に供しているもののいずれにも該当する場合はこれに当たらないとの例外規定が置かれています(施行令3条1項)。

市販の電話帳や職員録などがこの例外の典型例で、これに手を加えずに使っているだけであれば、「個人情報取扱事業者」に当たらない可能性も出てくるわけですが、多くの事業者においては複数の従業員や顧客があるでしょうし、これらの人々の情報を検索できるよう、エクセルなどで整理してリスト化していると思います。

したがって、「逃げ場」はほぼないに等しく、ほとんどの事業者は「個人情報取扱事業者」に当たってしまうであろうというのが筆者の結論です。

II 何をすればよいのか?

1 各種対応事項の提示

それでは、事業者として一体、何をしなければならないのかについては、以下のように整理することができます。

1)準備行為として行うべき事柄

(1)プロジェクトチーム(PT)の立ち上げ
(2)個人情報の棚卸し

2)個人情報保護法の義務との関係で対応すべき事項

(1)利用目的の整理・特定と伝達手段の選定
(2)適正・安全な取得・利用
(3)安全管理措置
(4)適法な第三者提供に向けての対応(本人同意原則との調整)
(5)開示等請求への対応
(6)その他

3)2)を踏まえた文書化

4)従業員教育・体制整備後のメンテナンス

ところで、改正法が要求する個人情報保護へ向けた対策は、大きく二つに分けて考えることができます。

photo

一つは、情報主体たる本人に向けた取組みがどの程度なされているのかという視点からの取組みであり、もう一つは、情報のセキュリティという観点から見た場合にどの程度の措置が採られているのかという視点からの取組みです。

前者は、当該個人情報を利用するについて、その主体たる本人にいかに納得してもらうか、という視点からの取組みです。後者は、情報漏洩や不正アクセス、情報の紛失・破壊や改ざんといった事態に、人的・物的な観点からいかなる対処をなすべきなのかという視点からの取組みということになります。両方揃って初めてその適切さが担保されることになりますので、実際の対応を行う際はこの二つの視点から、それぞれ現状を確認し、その後の対応を考えていくことが重要です。

2 対応に当たっての心構え

まず指摘すべきは、各々の事業者の実態に合致していなければ、規程を作ってもそれこそ「仏作って魂入れず」となりますので、実態をきちんと把握し、これに即した文書化を目指すことの重要性です。

また、約10年ぶりの改正ということで「改正法特有事項」に目が行きがちですが、これまで対応をしたことがない中小規模事業者としては、改正前の個人情報保護法の時代から引き続き義務として定められている事項にも対応しなければならないので、この点は留意してください。

3 「最短距離」を取るためのアプローチ

それでは、対応を「最短距離」で進めるためにはどのようなアプローチで進むべきでしょうか。キーワードは、「例外」「適用外」の抽出と、これによる「省力化」であると筆者は考えます。

前述の通り、今回の改正は、規制強化の側面を持っていますが、事業者の健全な事業活動を妨げる懸念が指摘されたことから、一定の事項に関しては衆参両院で特に対応を求める旨の附帯決議がなされました。また、ガイドラインでも、「適用外」の場合を積極的に例示し、形式的な適用による事業への委縮効果が生じないよう、配慮がなされています。

したがって、対応を「最短距離」で進めるに当たっては、原則を理解しつつも、まずは自身の現状が「例外」やガイドラインの指摘する「適用外」の場合に当たらないかを検証するのが「省力化」のための第一歩ということになります。

その上で、この「例外」「適用外」の場合では括れない事象に関し、原則通りの対応を検討していくことになるでしょう。


  • このエントリーをはてなブックマークに追加

この記事にコメントする

この記事に対するご意見・ご感想のコメントをご投稿ください。
※コメントの投稿をするにはログインが必要です。

※コメントのほか、ニックネーム、業種、所在地(都道府県まで)がサイト上に公開されます。

※投稿をしたコメントは、『日本の人事部』事務局で確認後、掲載されます。投稿後すぐには掲載されませんので予めご了承ください。

人事・労務関連コラムのバックナンバー

人事労務管理の視点から見る ネット上の誹謗中傷対策
近年、ネットの匿名性を悪用し、会社や上司、同僚を誹謗中傷する事例や、従業員の安易な投稿により世間からの批判が殺到する、いわゆる炎上と呼ばれる事案が増えている。で...
2017/11/06掲載
ミドル層採用時の情報収集・経歴詐称・ミスマッチ等への対応
人材不足で売り手市場の現在、転職市場では、豊富なキャリアやビジネススキルを持つミドル層の転職者割合も上昇しています。そんなミドル層の中途採用をめぐるトラブルを踏...
2017/09/21掲載
“働き方改革”で注目を集める
勤務間インターバル 制度設計と就業規則
現在、長時間労働是正の策の一つとして注目されている「勤務間インターバル」制度。どのような制度で、先行企業ではどのように導入されているのでしょうか。また、導入の際...
2017/07/10掲載

関連する記事

コンプライアンスの実務(4)法律対応
コンプライアンスに関わる法律にはどんなものがあるのか。ここでは10の法律について、個別に詳しく解説する。
2017/01/31掲載よくわかる講座
がん患者等の就労支援
ガイドラインと企業対応
65歳まで働くことが一般的になっている現在、企業は貴重な戦力を維持・確保するためにも、がんをはじめとする持病を持つ従業員への対応を進める重要性が増している。厚生...
2016/11/22掲載人事・労務関連コラム
人事マネジメント「解体新書」第100回
「採用コンプライアンス」を適切に進める方法とは
――法令を遵守し、リスクを回避するためのポイント・留意事項(後編)
近年、企業に求められる「採用コンプライアンス」(採用活動に対する法令遵守)が、一段と厳しくなっている。そのため、人事部門が研修を実施したり、注意喚起を促したりす...
2016/10/13掲載人事マネジメント解体新書
「労働安全衛生法」と「個人情報保護法」とは矛盾?従業員の健康情報管理と企業の責任をどのように考えるか
「個人情報保護法」施行後の過剰反応がもたらす、従業員の健康情報管理問題について、紹介しています。
2006/12/04掲載人事・労務関連コラム
会社は「社員メール」をどこまで監視している?「アダルトサイト閲覧」が見つかったら懲罰は?
会社は、社員がどのようにパソコンを使っているか、知っているのでしょうか。もし、私的なメールのやり取りをしていることがわかったら、その社員はどういう処分を受けるの...
2006/06/19掲載人事・労務実態調査
【用語解説 人事辞典】
受動喫煙
特別な休暇制度
「注目のセミナー特集」新たな人事ソリューション導入をご検討の企業様向けに厳選セミナーをご紹介。

会員として登録すると、多くの便利なサービスを利用することができます。

社宅でもUR賃貸住宅 【採用】インディードオンラインセミナー

注目コンテンツ


「注目のセミナー特集」
課題解決のノウハウが満載!

新たな人事ソリューション導入をご検討の企業様向けに厳選セミナーをご紹介。


【人事の日制定記念企画】
オピニオンリーダーからのメッセージ

HR領域のオピニオンリーダーの皆さまから全国の人事部門に向けてメッセージを頂戴しました。


人事メディア情報

人事メディア情報

人事・労務関連の代表的なメディアをご紹介いたします。


「ワーク・ライフ・バランス」実現に向けて<br />
~企業は何に取り組むべきなのか?

「ワーク・ライフ・バランス」実現に向けて
~企業は何に取り組むべきなのか?

近年、長時間労働の是正や育児支援制度の導入など、企業の「ワーク・ライフ...


「先端技術を先端で支える」人材を海外留学で育成

「先端技術を先端で支える」人材を海外留学で育成

半導体の試験装置(テスター)を開発・生産し、世界中の顧客企業へ技術、商...