改正個人情報保護法 最低限これだけは
2017年5月30日に改正個人情報保護法の全面施行が予定されておりますが、大きな改正点として、これまで個人情報法護法の適用が除外されていた比較的小規模な事業者(保有する個人情報の数が5000以下の事業者)にも個人情報保護法が適用されることとなり、対応が必要となったことが挙げられます。
この事業者には、いわゆるビジネスをやっている事業者に限られず、非営利の同窓会だったりPTA、自治会なども含まれることとなるため注意が必要です。
では、これまで個人情報保護法について具体的な対応をしてこなかった事業者が改正個人情報保護法に対応するために最低限するべき事にはどのようなものがあるでしょうか。
Step1 保有個人情報と利用目的の確認
まずは、どのような個人情報を持っているのかを確認しましょう。また、今は持っていなくとも、今後の業務の流れの中で、入手することが見込まれる個人情報についても、どのようなものがありそうなのか一度整理する必要があります。
個人情報には、住所や氏名の他、生年月日、電話番号、メールアドレスなどの他、これらの情報と紐付けられている様々な番号(会員番号やカード番号など)も含まれるため注意が必要です。
また、個人情報をどのような事に利用するのか、年間の業務の流れを洗い出して確認する必要があります。事業者のメンバー以外の第三者へ個人情報を提供する場面があるかもチェックする必要があります。これは、個人情報取得の際に通知等する必要がある利用目的の特定につながりますので、とても重要な作業です。
また、以下のStepも踏まえて、利用目的や管理の方法、開示の手続などをまとめた個人情報保護指針を定めて公表しておくと、利用目的の公表にもなりますし、また、メンバーの教育にも役に立つと思います。
Step2 個人情報を取得する際の注意点
次に、新たに個人情報を取得する場面での注意点ですが、個人情報を取得する際には本人に対して利用目的を通知するか本人が知る事が出来るように公表しておく必要があります。(このために予めStep1で利用目的をリストアップしておく必要があるのです。)
通知や公表の方法は様々な方法が考えられますが、本人に個人情報を書面に書いてもらうのであれば、その書面上にこのような利用目的がありますと書いておくことが考えられますし、HP等で個人情報保護指針に含めて公表しておくことも考えられます。
ちなみに、人種、信条、社会的身分、病歴、前科、犯罪被害情報などのセンシティブな情報については「要配慮個人情報」として特別の配慮が必要となりますのでご注意下さい。
また、個人情報を本人からではなく、第三者経由で入手する場合には、どのような情報を、いつ、誰から提供されたかを記録すると共に、その第三者がその個人情報をどのように取得したのかも確認する必要があります。(いわゆる名簿屋対策ですね)
Step3 個人情報の保管・利用の際の注意点
①保管
まず、保管については事業の規模に見合った合理的な方法をとる必要があります。分不相応なことまでする必要はありませんが、個人情報が含まれる名簿ファイルを部外者もアクセスできる机の上に放り出しておいたり、個人情報が保管されているPCにウィルス対策ソフトを入れないというようなことはさすがにまずいので、ファイルの保管場所やPCのウィルス対策については最低限の注意をしましょう。
また、保管の上で一番怖いのは、その情報を取り扱うメンバーが誤った取扱をすることですので、個人情報の取扱のルールについては普段からよく話し合って、ルールを周知しておく必要があります。
②利用
基本的には、Step1で確認して、①の取得の際に通知や公表した利用目的の範囲内でしか利用出来ませんから、利用の方法が、予め決めた利用目的の範囲内であるかは日々確認するようにして下さい。
逆に、利用目的の範囲外で個人情報を利用したいということになっても、改めて当該個人の同意を得ることが原則として必要となってきますから、最初に利用目的を特定する際には、想定しうる目的を盛り込んでおくことが重要になってきます。
なお、利用目的の変更も認められてはいますが、変更前との関連性があると合理的に認められる範囲に限られていますから、これまでの目的と全く違う目的に変更することはNGです。
但し、取得の状況から利用の目的が明らかであれば、そもそも、利用目的をわざわざ通知・公開する必要はないため、その取得の状況から明らかな利用目的の範囲内で利用することはできます。
③第三者への提供
個人情報は原則として本人の同意がなければ第三者へ提供することは出来ません。
本人からの同意が無い場合には、利用目的で第三者提供する場合があると記載してあっても、第三者への提供をするためには、本人が第三者提供を止めることを求めた場合にはこれに応じる体勢を整えるほか(オプトアウト手続)、改正法によって個人情報保護委員会への届出が必要となったため、結構面倒です。また、第三者提供に関する記録も残す必要があります。
ちなみに、業務の委託など(例えば、配送のために住所を配送業者に伝えることなど)は制限される第三者への提供にはあたりませんからご安心下さい。
また、法令に基づく場合(警察の捜査への提供)や人の生命・財産を守る場合にも本人の同意なく第三者への提供が認められています。
④その他
本人から個人情報の開示や訂正を求められた場合には、これに応じる必要がありますので、窓口(担当者)や手順を予め決めておくと良いと思います。
以上で、改正個人情報保護法の対応で最低限必要なことをまとめてみましたがいかがでしょうか。それぞれの事業規模に見合ったもので良いと思いますので、準備がまだという場合には、対応をすすめるようにして下さい。