無料会員登録

日本の人事部への登録は45秒で完了!
※登録内容はマイページで確認・変更できます。

※「@jinjibu.jp」からのメールが受信できるようにしてください。

既に会員の方はこちら

または各SNSで登録

日本の人事部があなたの許可無く投稿することはありません

既に会員の方は
こちらからログイン

ログイン

無料会員登録

不正な操作が行われました。
お手数ですが再度操作を行ってください。

会員登録完了・ログイン

ありがとうございます。会員登録が完了しました。
メールにてお送りしたパスワードでログインし、
引続きコンテンツをお楽しみください。

無料会員登録

不正な操作が行われました。
お手数ですが再度操作を行ってください。

会員登録完了・自動ログイン

会員登録とログインが完了しました。
引続きコンテンツをご利用ください。

マイページ

会員登録済み


選択したSNSアカウントは既に会員登録済みです。

HR調査・研究 厳選記事 掲載日:2017/05/11

小規模事業者も5月30日から適用対象に!
個人情報保護法ガイドライン 会社の現状チェックと対策

弁護士

鈴木 雅人(弁護士法人 三宅法律事務所)

一昨年の平成27年9月3日、個人情報保護法が改正され、同月9日公布されました(以下、改正後の個人情報保護法を「改正法」という)。そして、今般、施行日が平成29年5月30日に確定しました。

改正法の個々の条文を見ていくと実質的に今回の改正が多くの民間事業者にとって「規制強化」としての面を持っていることがわかります。とりわけ、これまで一律に適用が排除されていた多くの中小規模事業者に対する影響は非常に大きなものがあります。

本稿では、個人情報保護委員会が昨年11月30日に公表したガイドラインの内容もご紹介しつつ、会社の現状チェックと対策のポイントを明らかにしていきたいと思います。

I 中小規模事業者へのインパクト

1. 小規模事業者に対する一律除外規定の撤廃

小規模事業者も5月30日から適用対象に! 個人情報保護法ガイドライン 会社の現状チェックと対策

今回の改正法では、個人情報取扱事業者の定義から中小企業の適用除外を狙って規定されていた小規模事業者(データベース内の個人情報で識別される個人の数が過去6ヵ月間のいずれの日でも5,000を超えない事業者)に関する一律除外規定を撤廃しました。インターネット通販を行っている会社が典型例ですが、小規模の事業者が、クレジットカード情報のような重要情報を保有している例も見られ、情報の数で適用の有無を峻別することが適当ではないと考えられたこと等が改正の理由です。

これにより、中小規模事業者も遂に法の適用を前提に対応を考えなければならないこととなったわけです。そして、平成26年のベネッセコーポレーション顧客情報漏えい事件発生当時における世の中の状況などを振り返っていただければわかりやすいかと思いますが、近時、この種事案への世間の目も厳しく、ひとたび漏えいが起これば、激しい非難も巻き起こり、経営者が辞任を余儀なくされたり、巨額な賠償を実施せざるを得なくなるなど、一瞬で事業者自身の屋台骨を揺るがす事態に立ち至ることもありますので、遺漏なく対応しなければなりません。

2. 中小規模事業者に「逃げ場」はないのか?

それでは、中小規模事業者に「逃げ場」はないのでしょうか。

個人情報保護法の定める各種義務が課されるのは「個人情報取扱事業者」と同法が定義している事業者ですが、これに当たらない方法はないものでしょうか。

改正法上、「個人情報取扱事業者」は、「個人情報データベース等」を業務の用に供している者をいう、と定義されており(改正法2条5項)「個人情報」は改正法2条1項に定義があり「当該情報に含まれる氏名、生年月日その他の記述等…により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と「個人識別符号が含まれるもの」とがこれに当たると定められています。個人識別符号に当たるものには二つの系統があり、一つは指紋認識データ・顔認識データ・遺伝子データ・生体認証用の手の静脈データのように個人の身体の一部の特徴をコンピュータで処理するために変換した情報、もう一つは、マイナンバー、運転免許証番号、旅券番号、基礎年金番号、保険証番号など公の機関がその業務のために付したナンバーがこれに当たると政令で定められています。

以上の通り、基本的に生存している個人を特定できる情報を整理して使うとすべてこれに当たってしまいます。

一方、「個人情報データベース等」に関しては、(1)法令に違反することなく、不特定多数の者への販売目的で作成したもの、(2)不特定多数の者が随時購入可能、あるいは可能だったもの、(3)生存する個人の情報を加えることなく本来の用途に供しているもののいずれにも該当する場合はこれに当たらないとの例外規定が置かれています(施行令3条1項)。

市販の電話帳や職員録などがこの例外の典型例で、これに手を加えずに使っているだけであれば、「個人情報取扱事業者」に当たらない可能性も出てくるわけですが、多くの事業者においては複数の従業員や顧客があるでしょうし、これらの人々の情報を検索できるよう、エクセルなどで整理してリスト化していると思います。

したがって、「逃げ場」はほぼないに等しく、ほとんどの事業者は「個人情報取扱事業者」に当たってしまうであろうというのが筆者の結論です。

II 何をすればよいのか?

1. 各種対応事項の提示

それでは、事業者として一体、何をしなければならないのかについては、以下のように整理することができます。

1)準備行為として行うべき事柄

  1. プロジェクトチーム(PT)の立ち上げ
  2. 個人情報の棚卸し

2)個人情報保護法の義務との関係で対応すべき事項

  1. 利用目的の整理・特定と伝達手段の選定
  2. 適正・安全な取得・利用
  3. 安全管理措置
  4. 適法な第三者提供に向けての対応(本人同意原則との調整)
  5. 開示等請求への対応
  6. その他

3)2)を踏まえた文書化

4)従業員教育・体制整備後のメンテナンス

ところで、改正法が要求する個人情報保護へ向けた対策は、大きく二つに分けて考えることができます。

photo

一つは、情報主体たる本人に向けた取組みがどの程度なされているのかという視点からの取組みであり、もう一つは、情報のセキュリティという観点から見た場合にどの程度の措置が採られているのかという視点からの取組みです。

前者は、当該個人情報を利用するについて、その主体たる本人にいかに納得してもらうか、という視点からの取組みです。後者は、情報漏洩や不正アクセス、情報の紛失・破壊や改ざんといった事態に、人的・物的な観点からいかなる対処をなすべきなのかという視点からの取組みということになります。両方揃って初めてその適切さが担保されることになりますので、実際の対応を行う際はこの二つの視点から、それぞれ現状を確認し、その後の対応を考えていくことが重要です。

2. 対応に当たっての心構え

まず指摘すべきは、各々の事業者の実態に合致していなければ、規程を作ってもそれこそ「仏作って魂入れず」となりますので、実態をきちんと把握し、これに即した文書化を目指すことの重要性です。

また、約10年ぶりの改正ということで「改正法特有事項」に目が行きがちですが、これまで対応をしたことがない中小規模事業者としては、改正前の個人情報保護法の時代から引き続き義務として定められている事項にも対応しなければならないので、この点は留意してください。

3. 「最短距離」を取るためのアプローチ

それでは、対応を「最短距離」で進めるためにはどのようなアプローチで進むべきでしょうか。キーワードは、「例外」「適用外」の抽出と、これによる「省力化」であると筆者は考えます。

前述の通り、今回の改正は、規制強化の側面を持っていますが、事業者の健全な事業活動を妨げる懸念が指摘されたことから、一定の事項に関しては衆参両院で特に対応を求める旨の附帯決議がなされました。また、ガイドラインでも、「適用外」の場合を積極的に例示し、形式的な適用による事業への委縮効果が生じないよう、配慮がなされています。

したがって、対応を「最短距離」で進めるに当たっては、原則を理解しつつも、まずは自身の現状が「例外」やガイドラインの指摘する「適用外」の場合に当たらないかを検証するのが「省力化」のための第一歩ということになります。

その上で、この「例外」「適用外」の場合では括れない事象に関し、原則通りの対応を検討していくことになるでしょう。

HR調査・研究 厳選記事

HR調査・研究 厳選記事

? このジャンルの新コンテンツ掲載時に通知します このジャンルの新コンテンツ掲載時に通知します
フォロー

無料会員登録

フォローすると、対象ジャンルの新着記事が掲載された際に通知します。
利用には『日本の人事部』への会員登録が必要です。

メールアドレスのみの登録で、15秒で完了します。

人事の専門メディアやシンクタンクが発表した調査・研究の中から、いま人事として知っておきたい情報をピックアップしました。

この記事ジャンル コンプライアンス

無料会員登録

会員登録すると、興味のあるコンテンツをお届けしやすくなります。
メールアドレスのみの登録で、15秒で完了します。

この記事を既読にする

無料会員登録

「既読機能」のご利用には『日本の人事部』会員への登録が必要です。
メールアドレスのみの登録で、15秒で完了します。

この記事をオススメ

あなたのオススメとして、ニックネーム、業種、所在地(都道府県まで)が公開されます。
※コメント入力は任意です。

オススメ
コメント
(任意)
■コメント投稿に関するご注意
以下に定めるご注意をご承諾の上、コメントを投稿してください。

1.
記載されている記事や回答の内容に関係のないコメントは、ご遠慮ください。
2.
以下の内容を含んだコメントの投稿を禁止します。『日本の人事部』事務局が禁止行為に該当すると判断した場合には、投稿者に通知することなく、コメントを削除または修正することもございます。予めご了承ください。
・第三者の名誉または信用を毀損するもの
・第三者を誹謗・中傷するもの
・第三者の名誉、信用、プライバシーを侵害するもの
・第三者の著作権等の知的財産権を侵害するもの
・第三者の権利または利益を侵害するもの
・公序良俗に反する内容を含んだもの
・政治活動、宗教、思想に関する記載があるもの
・法令に違反する、または違反のおそれがある記載のあるもの
・差別につながるもの
・事実に反する情報を記載するもの
・営利目的の宣伝・広告を含んだもの
・その他、内容が不適切と判断されるもの
3.
氏名・住所・電話番号などの個人情報を記載すると、トラブルに繋がる可能性があります。絶対に記載することのないよう、ご注意ください。
4.
掲載されたコメントにより発生したトラブルに関しては、いかなる場合も『日本の人事部』事務局では責任を負いかねますので、ご了承ください。
5.
ご投稿いただきましたコメントは、『日本の人事部』や、当社が運営するウェブサイト、発行物(メールマガジン、印刷物)などに転載させていただく場合がございますので、ご了承下さい。

コメントを書く

あなたのオススメとして、ニックネーム、業種、所在地(都道府県まで)が公開されます。

コメント
■コメント投稿に関するご注意
以下に定めるご注意をご承諾の上、コメントを投稿してください。

1.
記載されている記事や回答の内容に関係のないコメントは、ご遠慮ください。
2.
以下の内容を含んだコメントの投稿を禁止します。『日本の人事部』事務局が禁止行為に該当すると判断した場合には、投稿者に通知することなく、コメントを削除または修正することもございます。予めご了承ください。
・第三者の名誉または信用を毀損するもの
・第三者を誹謗・中傷するもの
・第三者の名誉、信用、プライバシーを侵害するもの
・第三者の著作権等の知的財産権を侵害するもの
・第三者の権利または利益を侵害するもの
・公序良俗に反する内容を含んだもの
・政治活動、宗教、思想に関する記載があるもの
・法令に違反する、または違反のおそれがある記載のあるもの
・差別につながるもの
・事実に反する情報を記載するもの
・営利目的の宣伝・広告を含んだもの
・その他、内容が不適切と判断されるもの
3.
氏名・住所・電話番号などの個人情報を記載すると、トラブルに繋がる可能性があります。絶対に記載することのないよう、ご注意ください。
4.
掲載されたコメントにより発生したトラブルに関しては、いかなる場合も『日本の人事部』事務局では責任を負いかねますので、ご了承ください。
5.
ご投稿いただきましたコメントは、『日本の人事部』や、当社が運営するウェブサイト、発行物(メールマガジン、印刷物)などに転載させていただく場合がございますので、ご了承下さい。

問題を報告

ご報告ありがとうございます。
『日本の人事部』事務局にて内容を確認させていただきます。

報告内容
問題点

【ご注意】
・このご報告に、事務局から個別にご返信することはありません。
・ご報告いただいた内容が、弊社以外の第三者に伝わることはありません。
・ご報告をいただいても、対応を行わない場合もございます。

HR調査・研究 厳選記事のバックナンバー

関連する記事

【用語解説 人事辞典】
受動喫煙
特別な休暇制度
個人情報保護法