今さら聞けない、改正個人情報保護法キソのキソ

近年は個人情報の保護に対する機運が世界的に高まり、ヨーロッパでも昨年からEU一般データ保護規則(GDPR)が実施されました。

最近では、GDPRに違反したとして、グーグルが5千万ユーロ(約62億円)の制裁金の支払いを命じられました。

そうした中、日本でも、平成29年5月30日から改正個人情報保護法が施行され、個人情報の定義の明確化、適用対象者の拡大、個人情報保護委員会の新設などが行われました。

改正個人情報保護法が施行されたことによって、それまで適用が除外されていた5000人以下の個人情報しか有しない中小企業や小規模事業者も含め、個人情報を取り扱う全ての事業者に個人情報保護法が適用されることになりました。

また、改正個人情報保護法では、新たに様々な義務が規定されることになりました。

そこで、今回は改めて、改正個人情報保護法の下で企業が注意すべき点を簡潔にご説明したいと思います。

1.個人情報取得時の注意点

企業が個人情報を利用する場合、事前に利用目的を特定しておく必要があります。

そして、利用目的が明らかな場合を除いて、個人情報を取得する際には、特定した利用目的を本人に伝えるか、事前にHPやポスター等で公表しておく必要があります。

具体的には、商品の配送を行うために配送伝票に住所氏名を書いてもらう等の場合は、利用目的が明らかなので本人に利用目的を通知したり事前に公表する必要はありませんが、サービスに関するアンケート等を送付したりするために個人情報を利用する場合には、取得時に本人に利用目的を伝えるか事前に公表しておく必要があります。

2.個人情報利用の際の注意点

企業が取得した個人情報は、事前に特定した範囲内で利用しなければなりません。既に取得している個人情報について、取得時に特定した目的以外に利用する場合は、あらかじめ本人の同意を得る必要があります。

以下の3~5は、個人情報取扱事業者に課される義務になります。

個人情報取扱事業者とは、個人情報を50音順で並べてファイリングする等検索可能な形で個人情報をデータベース化(紙媒体とデータのどちらも含みます)している事業者のことで、ほぼ全ての事業者がこの個人情報取扱事業者に該当するかと思います。

3.取得した個人情報を管理する際の注意点

個人データの管理に関しては、以下の4つの義務が課されています。

  1. 安全管理措置をとること
    安全管理の方法は、事業の規模やリスクに応じて必要かつ適切な措置を講じる必要があります。
    具体的には、パソコンの顧客データにパスワードをかけたり、パソコン自体にウイルス対策ソフトを入れたりする等の方法が考えられます。
  2. 個人データの正確性・最新性の確保及び必要がなくなったときのデータ消去
    これらの義務は努力義務とされていますので、例えば本人から個人情報を削除して欲しい等の依頼をされた場合も原則は削除する義務はありません。
    また、正確性・最新性の確保は、全てのデータが対象ではなく、必要な範囲で行えば大丈夫です。
  3. 従業員に対する必要かつ適切な監督
    正社員、パートタイム社員、派遣社員等属性を問わず、全ての従業員に対して社員教育を行う必要があります。
  4. 個人情報取扱いの委託先の監督

4.個人情報を第三者に提供する際の注意点

個人情報取扱事業者が個人情報を第三者に渡す場合は、原則として本人の同意が必要になります。

例外的に、①法令に基づく場合、②人命に関わる場合で本人から同意を得るのが困難な場合、③業務を委託する場合等は本人の同意は不要です。

また、人種・信条等に関する要配慮個人情報を除き、オプトアウトの方法による第三者提供の場合は本人の同意は不要です。

5.本人から個人情報の開示請求があった場合

個人情報取扱事業者は、本人から当該本人に関する個人情報の開示請求を受けた場合、原則として、遅滞なく書面で該当の保有個人データを開示しなければなりません。

もっとも、本人や第三者の権利侵害のおそれや、事業者の業務への影響、法令への違反が生じうる場合には、個別具体的な事情のもとで開示しないこともできます。


以上が改正個人情報保護法の要点となります。

改正個人情報保護法によって定められているルールは今回ご説明したもの以外にも細かく定められていますので、判断に困ったときなどは弁護士にご相談されることをおすすめします。

以上

文責:弁護士 加藤貴紀