知っておきたい「個人情報の保護」
近年、個人情報の漏えいなどのニュースが後を立ちません。お客様の個人情報は企業にとって販促や分析などに使われ、事業の活性化に繋がる情報です。しかし、個人情報が漏えいするようなことがあると、会社の信用を大きく落とし、場合によっては会社の存続さえ危ういものになりかねません。取り扱い方をしっかり理解した上で、自社のために役立てることが大切です。
では、個人情報の取り扱いにはどのような注意が必要なのか、国で定められている個人情報保護法について一緒に勉強していきましょう。
個人情報保護法について
個人情報保護法とは、個人情報を取扱う者として守るべきルールが定められたものです。
- 生きている人、個人に関わる情報。
- 特定の人を指す、その人であることが分かる情報、誰かということが分かる情報。
- お客様の情報だけでなく、従業員の情報も含む。
- 他の情報と簡単に照らし合わせることができる情報。
例)「住所、電話番号、年齢、性別、生年月日、メールアドレス、所属、本籍、血液型、家族構成(故人含む)」などを、本人の氏名と組み合わせた情報
個人情報に該当するもの事例
- 氏名、住所、電話番号、年齢、性別、生年月日、メールアドレス、所属・役職などを、本人の氏名と組み合わせた情報
- 特定の個人を識別できるメールアドレス
(yamada-taro@… ヤマダタロウさんと分かるメールアドレス)
- 防犯カメラなどに記録された情報など、本人が判別できる映像情報
- 電話や会議などを録音した音声情報
- 雇用管理情報(会社が従業員を評価した情報、健康診断の結果なども含む)
- 電話帳、職員録などで公にされている情報
- ビデオのレンタル履歴などの購買履歴
個人情報に該当しないもの
- 企業の財務情報や法人の団体そのものに関する団体情報
- 特定の個人を識別できないメールアドレス
- 特定の個人を識別することができない統計情報
▲ページトップに戻る
個人情報保護法は、「個人情報取扱事業者」に対して適用される法律です
個人情報取扱事業者とは?
- 誰にでも簡単に検索できる個人情報をもっている。かつ、
- 個人情報の量が5000人分を超えている。
(過去6ヶ月以内に1日でも上記の状態になったことがある)
以上に該当する事業者を「個人情報取扱事業者」と言います。
▲ページトップに戻る
個人情報保護法における企業に課せられる義務について
個人情報保護法では、個人に関する情報が「個人情報」「個人データ」「保有個人データ」に
分類されています。この分類ごとに義務規定の適用範囲が異なります。
A:個人情報 2条1項- 生きている人、個人に関わる情報。
(例)名刺、特定の個人を識別できるメールアドレスなど。
B:個人データ 2条4項- 個人情報のうち、誰にでも簡単に検索できる状態に整理された個人情報集合物の中にある個人情報。
(例)ファイリングされた名刺、メールソフトに入れたアドレス帳など。
C:保有個人データ 2条5項- 個人データのうち、開示・訂正・利用停止などができ6か月間、継続して利用するもの。
(例) 顧客情報、従業員名簿など
▲ページトップに戻る
人情報保護法における企業に課せられる義務
| 条文 |
義務規定の解説 |
個人情報 |
個人データ |
保有個人
データ |
| 15条 |
利用目的の特定 |
あらかじめ用目的を特定し、その利用目的に必要な範囲でのみ個人情報を取り扱う。
個人情報は、適正な方法で取得し、取得時に本人に対して、利用目的の通知・公表などを行う。 |
○ |
○ |
○ |
| 16条 |
利用目的の達成に必要な範囲を超えた取扱いの制限 |
| 17条 |
不正な手段による取得の禁止 |
| 18条 |
取得に際して利用目的の通知等 |
| 19条 |
データ内容の正確性の確保 |
個人データについては、正確かつ最新の内容に保つように努め、安全管理措置を講じ、従業者や委託先を監督する。
あらかじめ本人の同意を得なければ、第三者に個人データを提供してはいけない。 |
× |
○ |
○ |
| 20条 |
個人データの漏えい防止等の安全管理のための措置 |
| 21条 |
従業者の監督 |
| 22条 |
委託先の監督 |
| 23条 |
第三者への情報提供の制限 |
| 24条 |
利用目的等を本人の知り得る状態に置く義務、本人の求めに対する本 |
保有個人データについては、利用目的などを本人の知り得る状態に置き、本人の求めに応じて開示・訂正・利用停止などを行う。 |
× |
× |
○ |
| 25条 |
人情報の利用目的の通知等 |
| 26条 |
本人の求めに対する本人情報の開示 |
| 27条 |
本人の求めに対する本人情報の訂正等 |
| 31条 |
苦情の処理 |
苦情の処理に努め、その体制を整備する。 |
○ |
○ |
○ |
▲ページトップに戻る
個人情報が漏えいした場合何が起こるのか
個人情報保護法では「報告の徴収」、「助言」、「勧告」、「命令」という処分があります。
- 命令に違反すると6ヶ月以下の懲役又は30万円以下の罰金
- 報告を怠ったり、嘘の報告をした者は、30万以下の罰金
▲ページトップに戻る
企業が取り組むべきこと
過去の顧客や退職した従業員情報などを、パソコンや棚の中に何年も眠らせていませんか?
そのような不要なデータであっても個人情報になり得るのです。
個人情報を適切に取り扱うために、企業はどのようなことに取り組み、注意していかなければいけないのでしょうか。
- 教育研修の実施などを通じて、まず社内のスタッフに個人情報の正しい収集や取り扱いについて認識させましょう。
- 不要なデータは持たない。必要ないデータは、必ずシュレッダーで処理しましょう。
- 個人情報の提供者には、どのような目的で情報を使用するのかを、あらかじめ伝えましょう。
- 保有個人データの開示や利用停止を求められた際に、適切な対応を取れる体制を整えましょう。
- 個人情報保護管理者を社内に設置するなど、個人情報の安全管理についての責任体制を整備しましょう。
- 個人情報の漏えいが発生したときの対処手順を確立し、普段から危機管理を行いましょう。
もし、個人情報の漏えいの事態が発生した場合には、二次被害防止のため、可能な限り事実関係を公表するようにしましょう。
個人情報に対する社会の考えは、年々厳しくなってきています。もし、あなたが「個人情報取扱事業者」でなかったとしても、個人情報の取り扱いには、充分な配慮が必要です。個人情報の漏えいは、企業の信用を失います。また場合によっては、会社の存続まで失いかねない問題です。
この法律は、個人を守る法律と同時に、企業を守る法律でもあるのです。
個人情報の取り扱い方を理解し、体制を整えた上で自社の活性化につなげましょう。
▲ページトップに戻る