コラム

 公開日: 2015-10-27  最終更新日: 2016-02-15

個人情報保護法の改正案成立-すべての事業者が個人情報取扱事業者へ

今夏の国会では安全保障関連法案が注目され、様々な報道や議論があったことは記憶されていると思います。しかしその裏では、様々な重要法案が審議され、成立しています。
例えば、以下の法案が成立しています。
・改正公職選挙法(選挙権年齢を「20歳以上)から「18歳以上)に引き下げる)
・女性活躍推進法(大企業に女性登用の数値目標を作るよう義務づけ)
・改正不正競争防止法(営業秘密の漏えいに対する「抑止力の向上」と「処罰範囲の整備」)
・改正航空法(小型無人機「ドローン」の飛行ルール等を規定)
・・・等々
今回取り上げるのは、個人情報保護法の改正案です。今回の法改正は、現行法の施行から10年が経過し、その間の技術の進化や社会環境の変化から生じた現実社会とのギャップを解消し、個人情報の利活用を進めることを目的としております。そのため、ビッグデータを背景にした個人データの活用に注目が集まっていますが、特に中小企業の大半に影響があるのが、
「個人情報を取り扱う件数の少ない事業者」に対する除外要件の撤廃
です。
例えば、業務上以下の様な事をしている方々は、個人情報保護法で定められた管理義務が生じます。
・会員カードを発行する際に、氏名、住所、電話番号、等の情報を入手している
・商品の配送やサービス提供のために、住所等の情報を入手している
・通販用のWebサイトに、氏名、住所、電話番号、等の情報を入力させている
今回はこの件に注目して確認を進めます。

「個人情報を取り扱う件数の少ない事業者」に対する除外要件と改正案の取扱い

現在の個人情報保護法では、個人情報を事業で取り扱う事業者を「個人情報取扱事業者」と定義し、様々な義務を課しています。この「個人情報取扱事業者」は幾つか除外要件が定められています。一つは、行政機関や独立行政法人等であり、別の法律によって個人情報の取扱いが規定されています。もう一つは、個人情報を取り扱う件数の少ない事業者であり、個人情報保護法施行令で保有する個人情報が5,000件以下と定められています。つまり、多くの中小企業がこれに含まれていると考えられます。当時は「個人情報取扱事業者」の義務をすべての事業者に対して負わせることは負担が大きいと考えられていたため、こうした除外要件が設定されました。
しかし、今回成立した改正案では、後者の「個人情報を取り扱う件数の少ない事業者」に対する除外要件が削除されました。事業者の取り扱う個人情報には従業員情報も含まれるため、一人でも従業員のいる事業者、すなわち、すべての事業者が「個人情報取扱事業者」となり、様々な義務が課されることになります。

現行法における個人情報取扱事業者の義務

それでは、個人情報取扱事業者が果たすべき義務とは何でしょうか。本来ならば改正案をベースにすべきですが、改正案の多くは匿名加工情報による個人情報の利活用、名簿屋対策、グローバル化といった内容であり、詳細は2016年に発足する個人情報保護委員会で策定されることから、今回は現行法ベースで確認します。
現在の個人情報保護法において定められている個人情報取扱事業者の義務は、以下の通りです。

1.個人情報の利用目的の明確化
・利用目的をできる限り特定しなければならない。
・利用目的の達成に必要な範囲を超えた情報を取り扱ってはならない。
・利用目的を通知又は公表しなければならない。
・利用目的を変更したときは通知又は公表しなければならない。

2.個人情報の不正取得の禁止
・偽りその他不正の手段により取得してはならない。

3.個人情報の管理
・正確かつ最新の内容に保つよう努めなければならない。
・安全管理のために必要な措置を講じなければならない。

4.監督
・従業者や委託先に対し必要な監督を行わなければならない。

5.第三者供与
・本人の同意を得ずに個人情報を第三者に提供してはならない。

6.本人の関与
・事業者名、利用目的等を本人の知り得る状態に置かなければならない。
・本人の求めに応じて保有個人データを開示しなければならない。
・本人の求めに応じて訂正等を行わなければならない。
・本人の求めに応じて利用停止等を行わなければならない。
・適切かつ迅速な苦情の処理に努めなければならない。

改正案への対応に向けて

個人情報取扱事業者の義務について提示しましたが、恐らくは、こんなに対応できない、と考えている事業者が多いのではないでしょうか。改正案には
「新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする」
とあるので、大企業と同等レベルの対応までは求められることはありませんが、何らかの形で個人情報取扱事業者の義務として提示された事項について対応する必要があります。
大まかな手順としては、以下の通りです。

1.個人情報保護に関する責任者や体制の整備
全社レベルで個人情報の保護に関する体制を構築し、責任者を選定します。

2.取扱っている個人情報の把握
自社や自組織で収集、または確認している個人情報がどのようなものがあるかを棚卸することです。また、それぞれの個人情報について、以下の事項について整理します。
・個人情報のリストやデータベースの名称
・管理対象項目
・利用目的
・取得方法や取得経路
・管理者/管理部門
・利用者/利用部門
・安全管理措置の内容

その際には、担当者個人で作成、管理している個人情報についても確認し、抜けや漏れがないようにすることが必要です。

3.個人情報の要不要の判断
2.で棚卸した個人情報に対して、今後も必要な情報かどうかを判断します。判断レベルは
1)個人情報のリストやデータベース
2)管理対象項目
の順に実施します。また、情報統合の可能性についても検討します。

4.個人情報に対するリスク分析
3.で必要と判断された個人情報に対して、漏えいや改ざん等のリスクを把握し、素のリスクに対応するための安全管理措置を検討します。

4.個人情報の管理体系の構築
以上の工程で現状把握がされたと考えられるので、これをベースに、個人情報に関する管理体系を検討します。具体的には、以下の通りです。
・個人情報管理の体制検討(苦情処理対応も含む)
・個人情報に関する規定や手順等のルール化
・個人情報保護を意識づけるための教育や研修計画(事前実施+定期実施)
・個人情報に関するルール等の遵守状況の監視手順や改善プロセスの検討

以上、個人情報取扱事業者として対応に向けた基本的な手順を提示しました。提示内容を見て圧倒されたかもしれません。しかし、これだけ個人情報にセンシティブな時代ですから、実際には対応している部分もあるので、全くゼロから対応するということではないと考えます。例えば、Webサイトをお持ちの場合、個人情報の取扱に関するページをほとんどの場合作成されています。内容の再確認は必要ですが、Web経由で入手する個人情報はこれで概ね対応していることになります。後は実世界で個人情報を入手する際、利用目的等について説明していなければ、その部分を追加すればいいだけのことです。また、現在はマイナンバー制度に向けて様々な対応をされているので、その内容を横展開することで、効率的な対応も可能です。このように体系的に作業を行うことで、必要最低限の労力で対応することも可能になると考えます。

とはいえ、準備期間が短いのは事実です。改正案は今年の9月に成立し、全面施行は公布日から2年以内と定められています。準備期間を十分に確保するよう政府が配慮するならば2017年(平成29年)後半になるのでしょう。しかし、改正案の多くは今すぐにでも実施すべき内容も含まれております。内閣官房の作成した資料を確認すると、2016年末~2017年初めでの全面施行を計画しているようです。つまり、制度対応期間は1年程度と見ておいた方が良いでしょう。

過剰な対応に注意

こうした制度改正による対応が求められる場合、様々な業者、特に情報システム関連の業者による売り込みが盛んになる傾向があります。しかし、その内容はこれまで大企業で実施してきたことを再利用することも多く、今後対応が求められる中小規模の事業者にとっては過剰な内容であることも少なくありません。中小企業で個人情報の保有件数が少なければ、むしろITでの対応を限定的にし、手作業による管理を中心にすることで対応することも可能です。
同様にプライバシーマークの取得についても、慌てて取得する必要はありません。対外的なアピールをしたいのであれば、プライバシーマークの取得というのは有効な手段の一つとなりますが、そうでなければ敢えて取得する必要はありません。一般カスタマー向けのビジネスを行うのであればプライバシーマークは必須、という声もありますが、そんなことはありません。
法制度で求められている内容と自社や自組織の状況を客観的に確認していけば、過剰な投資を行うことなく、必要最低限の対応で最適化を図ることが可能です。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、個人情報保護法への対応に向けた、
・現状、及び不足内容を把握するための簡易診断
・規程、手順書等の作成や見直し
・情報セキュリティを含む安全管理措置の策定や見直し
・従業員等に対する研修やトレーニング
等のコンサルティングサービスを提供しております。
興味や関心がございましたら、ぜひご連絡ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

4

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ