小規模事業者も5月30日から適用対象に!
個人情報保護法ガイドライン 会社の現状チェックと対策
弁護士
鈴木 雅人(弁護士法人 三宅法律事務所)
一昨年の平成27年9月3日、個人情報保護法が改正され、同月9日公布されました(以下、改正後の個人情報保護法を「改正法」という)。そして、今般、施行日が平成29年5月30日に確定しました。
改正法の個々の条文を見ていくと実質的に今回の改正が多くの民間事業者にとって「規制強化」としての面を持っていることがわかります。とりわけ、これまで一律に適用が排除されていた多くの中小規模事業者に対する影響は非常に大きなものがあります。
本稿では、個人情報保護委員会が昨年11月30日に公表したガイドラインの内容もご紹介しつつ、会社の現状チェックと対策のポイントを明らかにしていきたいと思います。
I 中小規模事業者へのインパクト
1. 小規模事業者に対する一律除外規定の撤廃
今回の改正法では、個人情報取扱事業者の定義から中小企業の適用除外を狙って規定されていた小規模事業者(データベース内の個人情報で識別される個人の数が過去6ヵ月間のいずれの日でも5,000を超えない事業者)に関する一律除外規定を撤廃しました。インターネット通販を行っている会社が典型例ですが、小規模の事業者が、クレジットカード情報のような重要情報を保有している例も見られ、情報の数で適用の有無を峻別することが適当ではないと考えられたこと等が改正の理由です。
これにより、中小規模事業者も遂に法の適用を前提に対応を考えなければならないこととなったわけです。そして、平成26年のベネッセコーポレーション顧客情報漏えい事件発生当時における世の中の状況などを振り返っていただければわかりやすいかと思いますが、近時、この種事案への世間の目も厳しく、ひとたび漏えいが起これば、激しい非難も巻き起こり、経営者が辞任を余儀なくされたり、巨額な賠償を実施せざるを得なくなるなど、一瞬で事業者自身の屋台骨を揺るがす事態に立ち至ることもありますので、遺漏なく対応しなければなりません。
2. 中小規模事業者に「逃げ場」はないのか?
それでは、中小規模事業者に「逃げ場」はないのでしょうか。
個人情報保護法の定める各種義務が課されるのは「個人情報取扱事業者」と同法が定義している事業者ですが、これに当たらない方法はないものでしょうか。
改正法上、「個人情報取扱事業者」は、「個人情報データベース等」を業務の用に供している者をいう、と定義されており(改正法2条5項)「個人情報」は改正法2条1項に定義があり「当該情報に含まれる氏名、生年月日その他の記述等…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と「個人識別符号が含まれるもの」とがこれに当たると定められています。個人識別符号に当たるものには二つの系統があり、一つは指紋認識データ・顔認識データ・遺伝子データ・生体認証用の手の静脈データのように個人の身体の一部の特徴をコンピュータで処理するために変換した情報、もう一つは、マイナンバー、運転免許証番号、旅券番号、基礎年金番号、保険証番号など公の機関がその業務のために付したナンバーがこれに当たると政令で定められています。
以上の通り、基本的に生存している個人を特定できる情報を整理して使うとすべてこれに当たってしまいます。
一方、「個人情報データベース等」に関しては、(1)法令に違反することなく、不特定多数の者への販売目的で作成したもの、(2)不特定多数の者が随時購入可能、あるいは可能だったもの、(3)生存する個人の情報を加えることなく本来の用途に供しているもののいずれにも該当する場合はこれに当たらないとの例外規定が置かれています(施行令3条1項)。
市販の電話帳や職員録などがこの例外の典型例で、これに手を加えずに使っているだけであれば、「個人情報取扱事業者」に当たらない可能性も出てくるわけですが、多くの事業者においては複数の従業員や顧客があるでしょうし、これらの人々の情報を検索できるよう、エクセルなどで整理してリスト化していると思います。
したがって、「逃げ場」はほぼないに等しく、ほとんどの事業者は「個人情報取扱事業者」に当たってしまうであろうというのが筆者の結論です。
II 何をすればよいのか?
1. 各種対応事項の提示
それでは、事業者として一体、何をしなければならないのかについては、以下のように整理することができます。
1)準備行為として行うべき事柄
- プロジェクトチーム(PT)の立ち上げ
- 個人情報の棚卸し
2)個人情報保護法の義務との関係で対応すべき事項
- 利用目的の整理・特定と伝達手段の選定
- 適正・安全な取得・利用
- 安全管理措置
- 適法な第三者提供に向けての対応(本人同意原則との調整)
- 開示等請求への対応
- その他
3)2)を踏まえた文書化
4)従業員教育・体制整備後のメンテナンス
ところで、改正法が要求する個人情報保護へ向けた対策は、大きく二つに分けて考えることができます。
一つは、情報主体たる本人に向けた取組みがどの程度なされているのかという視点からの取組みであり、もう一つは、情報のセキュリティという観点から見た場合にどの程度の措置が採られているのかという視点からの取組みです。
前者は、当該個人情報を利用するについて、その主体たる本人にいかに納得してもらうか、という視点からの取組みです。後者は、情報漏洩や不正アクセス、情報の紛失・破壊や改ざんといった事態に、人的・物的な観点からいかなる対処をなすべきなのかという視点からの取組みということになります。両方揃って初めてその適切さが担保されることになりますので、実際の対応を行う際はこの二つの視点から、それぞれ現状を確認し、その後の対応を考えていくことが重要です。
2. 対応に当たっての心構え
まず指摘すべきは、各々の事業者の実態に合致していなければ、規程を作ってもそれこそ「仏作って魂入れず」となりますので、実態をきちんと把握し、これに即した文書化を目指すことの重要性です。
また、約10年ぶりの改正ということで「改正法特有事項」に目が行きがちですが、これまで対応をしたことがない中小規模事業者としては、改正前の個人情報保護法の時代から引き続き義務として定められている事項にも対応しなければならないので、この点は留意してください。
3. 「最短距離」を取るためのアプローチ
それでは、対応を「最短距離」で進めるためにはどのようなアプローチで進むべきでしょうか。キーワードは、「例外」「適用外」の抽出と、これによる「省力化」であると筆者は考えます。
前述の通り、今回の改正は、規制強化の側面を持っていますが、事業者の健全な事業活動を妨げる懸念が指摘されたことから、一定の事項に関しては衆参両院で特に対応を求める旨の附帯決議がなされました。また、ガイドラインでも、「適用外」の場合を積極的に例示し、形式的な適用による事業への委縮効果が生じないよう、配慮がなされています。
したがって、対応を「最短距離」で進めるに当たっては、原則を理解しつつも、まずは自身の現状が「例外」やガイドラインの指摘する「適用外」の場合に当たらないかを検証するのが「省力化」のための第一歩ということになります。
その上で、この「例外」「適用外」の場合では括れない事象に関し、原則通りの対応を検討していくことになるでしょう。
人事の専門メディアやシンクタンクが発表した調査・研究の中から、いま人事として知っておきたい情報をピックアップしました。
