【個人情報保護】個人情報保護の社内規程とガイドライン

すべての事業者が対象になっています

うちは小規模な事業者です。
商工会議所のセミナーで個人情報保護法の対応が必要と言われました。
それで,規程を作ろうと勉強を始めたのですが,いろんな用語がでてきて困っています。

個人情報保護法が施行された当初は,小規模事業者(保有する個人情報が5000人以下)が適用の対象外とされていました。
そのため,多くの中小企業において,個人情報保護法は関係がないという扱いがされてきました。

法律が変わったそうですね。

厳しい個人情報保護法制を採用しているEUとの関係などもあって法改正がされました。
2017年5月30日から,すべての事業者に個人情報保護法が適用されています。

それでなのですね。
小規模の事業者も大企業と同じ対策が必要なのですか。

個人情報保護法には,事業者の規模による区別をすることなく,その責務がさまざまに規定されています。
しかし,小規模事業者に大企業と同じ措置を求めるのは,負担が大きすぎます。
そのため,個人情報保護委員会策定したガイドラインで,小規模事業者に配慮した措置が例示されています。

一応配慮はされているのですね。安心しました。

規程を作るのは,あくまで法律に従って個人情報を適切に取り扱うためです。
法律をなぞったようなひな型を持ってきてファイルに綴じただけでは,当たり前ですが意味がありません。

小規模事業者は何をすべきか

個人情報を適切に取り扱うとは,どうすればいいのでしょうか。

まず,どういう場面で個人情報を扱うか思い浮かべてください。

個人情報を顧客や従業員から入手し,リストにして利用し,保管しています。
場合によっては,保管しているリストを他の業者に渡したいときがあるかもしれません。

逆に,保管されている自分の情報を確認したいと言われるときがあるかもしれませんね。
個人情報保護法は,これらの各場面について,次のようなルールを定めています。

1 事業者が個人情報を扱うには,その利用目的を決めておかなければなりません。
2 個人情報を入手する際には,決めた利用目的を本人に伝える必要があります。
3 入手した個人情報は,利用目的を超えて利用することができません。
4 個人情報を安全に管理しなければなりません。
5 他人に個人情報を渡すときは,本人の同意を得てください。
6 保管されている自分の個人情報を確認したいと本人が請求したら,応じてください。

簡単に言うと,使う目的をきちんと決めて,それ以外に使わない。
そういうことですか。

理解の速さにはいつも驚かされます。
それではもう少し詳しく順に確認していきましょう。

1 個人情報の利用目的を決めるときのルール

事業者が個人情報を扱うにあたっては,その利用目的を特定しなければなりません。

当社の事業に用いるため,ということでいいのでしょうか。

どのような目的で利用されるか,本人が想定できる程度に具体的に特定する必要があります。

「当社の事業に用いるため」では想定できないかもしれませんね。

そうですね。
たとえば「マーケティング活動に用いるため」という程度では特定が足りず,「購入商品の発送,アフターサービス及び新商品に関するお知らせのため」という程度までの特定が必要とされています。

2 個人情報を入手するときのルール

個人情報を入手するときは,特定した利用目的を本人に伝える必要があります。

それは結構たいへんではないですか?

あらかじめ利用目的を公表している場合は,入手のたびに伝える必要はありません。

その「公表」は,ホームページへの掲載でもいいのですか。

自社のホームページがある場合には,これに掲載するのがもっとも簡便かもしれません。
ただし,ホーム画面から1回程度のクリックでたどり着けるページに掲載しておくべき,とされています。

分かりやすく公表しておく必要があるということですね。

申込書への記入やウェブ画面への入力によって個人情報を入手する場合は,特別な決まりがあります。
たとえ利用目的を公表していたとしても,申込書に記載しておくとか,送信ボタンを押す前に画面表示されるようにするとか,入手前に利用目的を明示しなければなりません。

3 個人情報を利用するときのルール

入手した個人情報は,特定した利用目的の範囲内で利用しなければなりません。

もし利用目的の範囲を超えて利用したいと思った場合は,どうしたらいいのですか。

本人の同意が必要です。
本人が未成年者であれば,親権者などから同意を得る必要があります。
※2022年4月1日から,成人年齢が18歳になります。

4 個人情報を管理するときのルール

個人情報を安全に管理するのは当然だと思います。
しかし,小規模事業者にとってはかける費用との関係で難しいところです。

リストにして利用している個人情報(個人データ)が漏えいしないように,安全管理を徹底する必要があります。
この安全管理には,①組織的な安全管理,②人的な安全管理,③物理的な安全管理,④技術的な安全管理の4つがあり,ガイドラインには中小規模事業者での対応についても例示されています。

①組織的な安全管理

まず,組織的な安全管理として,個人データの取扱責任者を決めます。
そしてこの取扱責任者が,取扱規程に従って個人データが取り扱われているかを確認及び点検します。
漏洩事故等の発生時には,取扱責任者が社内からの連絡窓口となります。

②人的な完全管理

次に,人的な完全管理として,取扱責任者は,従業員に対する研修を行います。
また就業規則等によって,従業員に個人データに関する守秘義務を負わせます。

③物理的な安全管理

物理的な安全管理として,個人データにアクセスできるコンピューターや書類を,開放されていない部屋やキャビネットに設置,保管します。
記録媒体や書類の持ち運びの際の紛失や散逸に注意する必要があります。
必要がなくなった個人データは,速やかに消去や廃棄を行います。
この場合,確実に消去されたことを取扱責任者が確認します。

④技術的安全管理

最後に,技術的な安全管理として,個人データにアクセスできる従業員を必要最小限に限定します。
その上で,そのうちの誰がいつアクセスしたかを記録するようにします。
外部からの攻撃に備えて,OSは常に最新の状態にアップデートし,セキュリティソフトを導入してください。
メールの添付ファイルとするときはパスワード設定し,送信先をあらかじめ登録して送信テストを行う等,漏洩対策を行います。

この取扱いを社内規程にして周知を図ることが必要ですね。

5 個人情報を他人に渡すときのルール

個人データを他人に渡す場合は,基本的に本人の同意が必要です。
法令による等の場合やオプトアウトによる提供の要件を満たす場合の例外はありますが,まず本人の同意がなければ不可と考えてください。

うちでは宅配業者に顧客の住所氏名を渡していますが・・・。

たとえばEC事業者が商品の配送のため宅配業者に住所氏名を提供するような場合,その宅配業者は他人にあたらないと考えられています。

6 本人から開示請求されたときのルール

本人から個人情報(保有個人データ)の開示を求められたら,基本的に応じなければなりません。

開示の方法に決まりはあるのですか。

原則として書面により開示しますが,本人と合意できればそれ以外の方法で可能です。

開示にかかった費用は誰が負担するのですか。

開示にあたり,実費程度の費用を請求することに問題はありません。
本人から利用目的を通知するように求められた場合も,基本的に応じる必要があります。

さっそく責任者を決めて対応できるようやってみます。

個人情報保護委員会には,相談員が対応する相談ダイヤルの他に,24時間回答するという「質問チャット」がホームページに設置されています。大いに利用されるよいと思います。

コメント