ビジネスモデル×仕組みづくり×マーケティングを得意とするケイティです。
-
-
個人情報保護法という言葉はよく聞きますが、実際のところあまりよくわかっていない経営者の方も多いのではないでしょうか?
特に、これから起業しようという方は尚更です。起業前から個人情報保護法を熟知している人は少ないでしょう。
個人情報保護法は、顧客情報を扱う全ての経営者が知っておかねばならない知識です。よく知らずに個人情報を流失させるようなことがあれば、一気に倒産することにもなり兼ねません。個人情報保護法で気を付けるポイントは、以下の3点です。
・個人情報を扱う上でのルールは大きく分けて5つ
・個人情報保護法に違反した場合、刑事上だけでなく民事上の責任を負う可能性がある
・個人情報保護法に違反しないための対策としては、人為的なものとセキュリティの2つがある。
ぼくは今まで数多くの新規事業立ち上げに携わっていますが、顧客情報を扱う経営者の方でも個人情報保護法を完全には理解していない方がちらほらいらっしゃいました。
ですので、以下の内容は必ず確認しておくことをおすすめします。
個人情報保護法を押さえておくべき業者とその所管について
本題に入る前に、個人情報保護法を押さえておくべきなのは、どのような業者なのか例をお伝えします。
【ECサイト運営会社】:洋服・雑貨などの商品を扱うECサイト運営会社
【保険会社】:健康状態などの情報を知り得る必要がある保険会社
【マーケティング会社】:クライアントを支援する上で情報収集をする必要がある会社
つまり個人情報保護法は、情報を扱う全ての企業・事業者が押さえる必要があると言えます。
情報を扱うという事は殆どの企業がそれに該当する為、どのような企業であっても法律違反によって、足元をすくわれてしまう可能性があるという事は覚えておきましょう。
個人情報保護法の所管は総務省になりますので、総務省から出されている情報は追うようにしましょう。
「個人情報保護法」とは
個人情報保護法とは、事業者が慎重かつ有効的に情報を扱えるよう、共通のルールを定めた法律のことを言います。消費者・利用者が安心して情報を提供できるよう、個人情報を保護する適切な環境づくりをサポートするのが目的です。
改正個人情報保護法について
個人情報保護法は、2015年9月にすべての事業者を対象とした改正法を公布、2017年5月30日に全面施行しています。
改正前の個人情報保護法では、5,000人以下の個人情報を持たない中小企業・小規模事業者は対象としていませんでした。情報通信技術が発展していくなかで、より安全な環境・体制変化を求められたことが、改正法案発足の背景と言えるでしょう。
何が違う?各専門用語の意味
個人情報保護法を詳しく読み解いていくなかで、押さえておきたい代表的な専門用語を5つご紹介します。
個人情報
「生存する特定の個人」を識別できる情報のことを言います。また、その他の情報を照合することで特定の個人を識別できる情報も同様です。
例)氏名、生年月日、住所、電話番号、顔写真、音声録音情報(氏名などの情報を含む場合)、個人識別符号など
個人識別符号
改正法では、個人情報の範囲・明確化を目的とした「個人識別符号」が加わりました。個人情報として可否判断が難しかった「文字・番号・記号・符号など」の情報が個人識別番号に該当します。ただし個人識別符号は、政令や規則で限定的に指定しています。
例)① 身体の一部の特徴を変換した符号
DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
例)②サービス利用や書類において、公的番号として対象者ごとに割り振られる符号
パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等
個人情報データベース等
個人情報データベース等とは、個人情報を検索して抽出できるものを対象としています。
個人データ
個人情報データベース等に入っている情報の総称を「個人データ」と呼びます。
保有個人データ
保有個人データとは、「事業者側に修正や削除等の権限がある」「6ヶ月以上保有する」といった2つの要件を満たす情報を指しています。
個人情報を扱う際の義務・ルール5つ
個人情報を扱う際の義務・ルールが大きく分けて5つ存在します。
①取得・利用目的の特定
個人情報の取得・利用の際には、以下の義務を果たさなければなりません。
・利用目的を明確かつ具体的に特定しておくこと
・あらかじめ公表するか、取得時に本人へ通知すること
・利用目的範囲外で利用する際は、事前に本人の同意を得ること
・正確かつ最新の内容を保つこと
・利用の必要性が無くなったら、速やかに消去すること
ただし、配送伝票に住所・氏名を記載するような「利用目的が取得時に明確な場合」は、公表・通知の義務がありません。
②安全管理の措置を徹底
個人情報を扱う事業者は、個人データの安全管理に必要な措置を徹底しなければなりません。「事業の規模」「事業の性質」「個人データの取扱状況」「個人データを記録する媒体の性質」など、それぞれ異なる環境に合わせて、本人に対する被害の大きさを考慮しながら適切な体制を整える必要があります。
③他人に渡す際の同意・記録
個人情報を第三者に引き渡す際には、原則として事前の本人同意が必要です。ただし、以下のような場合は例外的に本人の同意は不要です。
・法令に基づく提供
(例:警察、裁判所、税務署等からの照会)
・人の生命・身体・財産の保護に必要な提供あり、本人同意取得が困難な状態
(例:災害時の被災者情報の家族・自治体等への提供)
・公衆衛生・児童の健全育成に必要な提供であり、本人同意取得が困難な状態
(例:児童生徒の不登校、児童虐待のおそれのある情報を関係機関で共有)
・国の機関等の法令が定める事務への協力に必要な提供
(例:国や地方公共団体の統計調査等への回答)
・委託、事業承継、共同利用に必要な提供
他にも第三者へ個人データを引き渡したとき、第三者から個人データを得たときは、一定事項を記録する義務があります。
④外国にあたる第三者に渡す際の同意・記録
外国にあたる第三者に個人データを引き渡す場合は、以下3つの要件いずれかを満たしていなければなりません。
・事前に本人の同意を得ていること
・個人情報保護委員会の認可国に所在していること
・個人データを得るうえで、「※適切な体制」を整えていること
※例)APEC 越境プライバシールール(CBPR)システム等の認定
⑤開示、訂正、利用停止等の対応
保有個人データにおいて、以下のケースに当てはまる場合は、原則的にスムーズな対応が必要です
・本人からの保有個人データ開示請求
・保有個人データの取扱に関する苦情
・使用しない保有個人データの消去
個人情報保護法を押さえておくべき企業
個人情報保護法は、個人情報を取り扱うすべての企業が意識するべき法律です。これらの企業を総称して「個人情報取扱事業者」と呼びます。
例)マンションの管理組合、NPO法人、自治会や同窓会などの非営利組織、任意団体、個人など
ただし、以下の者は個人情報取扱事業者には該当しません。
・国の機関
・地方公共団体
・独立行政法人等
・地方独立行政法人
個人情報保護法違反のペナルティ~どのような罰則があるのか?~
万が一、個人情報保護法を違反した場合はペナルティが発生します。「刑事上の責任」「民事上の責任」で内容が異なるので、しっかりと確認しておきましょう。
刑事上の責任(罰則)
刑事上の責任(罰則)は、以下の内容に該当した場合に発生します。
・【国からの命令違反】…6 ヶ月以下の懲役又は 30万円以下の罰金
・【虚偽の報告】…30万円以下の罰金
・【不正利益を目的とした個人情報データベース等の提供・盗用】…1 年以下の懲役または50万円以下の罰金
民事上の責任(損害賠償・謝罪金)
個人情報の取扱いに問題が生じた場合、事業者に対して、大きな被害を受ける情報提供者本人が「民事上の責任」を追求するケースがあります。不法行為にあたる損害賠償金や慰謝料、謝罪金が民事上の責任に該当します。
その他の打撃
刑事上・民事上の責任だけではなく、会社は「復旧コスト」「社会的信用の失墜」など、さまざまな打撃を受けることも把握しておく必要があります。
例①)復旧コスト…稼働工数の増加、外注費の増加、顧客対応に関わるコストなど
例②)社会的信用の失墜…取引停止、顧客離れ、株価下落、退職者増加、採用難など
個人情報保護法を違反しないための対策
情報本人への被害や会社への打撃を発生させないためには、具体的な対策を事前に練っておくことが大切です。
「人為的」な面から見る対策法
・情報持ち出しの禁止
・私物の電子機器の持ち込み禁止
・管理権限の貸与・譲渡の禁止
・業務上知り得た情報公言の禁止
・情報漏洩の迅速かつ正確な報告
など
「セキュリティ」の面から見る対策法
・機密性の確保…アクセス権の設定、入室制限の実施など
・完全性の確保…閲覧のみの許可、データの暗号化など
・可用性の確保…システムの二重化など
個人情報保護法に違反してしまった実例
最後に、個人情報保護法に違反してしまった実例をご紹介します。
実例①フィッシングメールからマルウェア感染:1万2,514件
日本経済新聞社グループの従業員が所有するPC端末がマルウェアに感染したことにより、日経及びグループ企業の社員・関係者の情報1万2,514件が流出した。
社内端末にはウイルス検知システム等のセキュリティ対策が施されていたが、感染したマルウェアは未知のものの可能性が高く、セキュリティ対策をすり抜けたと考えられている
実例②不正アクセス:8万6,687件
鳥取市が運営するショッピングサイト「とっとり市」に対し複数回の不正アクセスが発生し情報が流出した。
1回目の不正アクセスでは顧客情報2万7,279件、注文情報5万9,021件が流出、2回目では396件の情報が流出したことがわかっている。流出対象者に二次被害の警戒を呼びかけている。
実例③紛失 約7万件
沖電気工業株式会社のグループ子会社であるOKIクロステック株式会社が、三井住友銀行より事務機器の保守業務を受託していたが、作業の過程で情報が保存されているハードディスクドライブを紛失していた。
ハードディスク内には、同行葛西支店の顧客情報・取引履歴約7万件が保存されていたとされる。
出典:個人情報漏洩事件・被害事例一覧:サイバーセキュリティ.com
まとめ:個人情報保護法は顧客情報を扱う事業主の必須知識!
今までは主に大企業が対象でしたが、全ての企業が対象となったため、いま一度、個人情報保護法を押さえておくと良いでしょう。
違反をしてしまえば倒産となるケースもありますし、何より、顧客に迷惑がかかってしまいます。
個人情報保護法をしっかりと理解し、社内でも体制を整える必要があるでしょう。
※専門性の高い記事になりますので、ライターである佐藤がこの記事を作成致しました。
