改正個人情報保護法ーー中小企業も対象に!企業の陥りがちな対応
最終更新日 2023年1月17日
法律が改正されたことで、中小企業も個人情報の取り扱い事業者として対象となりました。
基本的なルールを踏まえて、個人情報を利用する際の注意点について見ていきましょう。
中小企業も対象になった個人情報の取り扱い
2017年5月30日から改正個人情報保護法が施行されました。
これによって企業規模や営利・非営利を問わずに、すべての事業者に適用されることになったのです。
中小企業や個人事業主、NPO法人・自治会・同窓会などにも適用されます。
個人情報の取り扱いとデータを活用する時の注意点をしっかりと押さえておく必要があります。
そもそも個人情報とは「生存する個人に関する情報で、特定の個人を識別することができるもの」のことを指しています。
氏名・生年月日・顔写真などがそれに当てはまります。
他にも、「個人識別符号」と呼ばれるものがあり、具体的には指紋データ・免許証番号・マイナンバー・パスポート番号などです。
これらの情報の取り扱いには、これまでよりも慎重になる必要があります。
基本的な4つのルール
個人情報を利用するにあたって4つの基本的なルールがあります。
まずは利用目的を特定して、その範囲内で利用することが求められます。
その際には利用目的を相手に知らせる必要があり、勝手に使用してはいけません。
2番目は情報の漏えいが生じないように安全に管理する姿勢が求められます。
従業者・委託先にも安全管理を徹底することが大切です。
3番目は第三者に提供する場合には、あらかじめ本人から同意を得る必要があります。
本人に無断で情報を提供してはいけません。
そして4番目は本人から開示の請求があった場合は、すみやかに対応する姿勢が求められています。
個人情報の取得・利用にあたってはホームページの分かりやすい場所に掲示したり、申込書に記載したりする方法を取るのがいいでしょう。
また基本的な記録事項は3年の保管期限が決められています。
罰則や「匿名加工情報」について
事業者がきちんと法令を守っているのかの状況は、個人情報保護委員会が監督しています。
この委員会は必要に応じて、報告を求めたり立入検査を行って実態に応じて指導・助言・勧告・命令を行ったりする権限があります。
法令に違反した場合には、国からの命令に違反すると6カ月以下の懲役または30万円以下の罰金と定められています。虚偽の報告をすると30万円以下の罰金が課されます。
従業員などが不正な利益を図る目的で個人情報データベース等を提供・盗用した場合には1年以下の懲役又は50万円以下の罰金と決められています。
これは法人にも適用されるので注意が必要です。
また「匿名加工情報」と呼ばれるビックデータを活用する際の制度があります。
「匿名加工情報」とは特定の個人を識別できないように個人情報を加工し、その個人情報を復元できないようにした情報のことを指します。
こうすることで利用目的や第三者提供の制限なく、一定の取扱いルールにしたがって自由な流通・利用を促しています。
ビジネスで活用する際にはルールやガイドラインをしっかりと押さえることが大切です。
これらの対応で困難を感じる時には、情報の取り扱いに強い弁護士などに相談してみましょう。
最終更新日 2023年1月17日
弁護士法人ひいらぎ法律事務所
代表 社員 弁護士 増田 浩之
開所以来、姫路エリアに密着。使用者側労働問題に注力。経営法曹会議会員。