税務の事なら東京港区西新橋の藤戸綜合事務所にお任せください。
お気軽にお問合せください
03-4335-4204
マイナンバーをはじめとした個人情報は、今でこそ誰もがその取扱いには様々な注意を払っていますが、平成15年に個人情報保護法が施行されてから現在に至るまで14年間でIT分野が大幅な進歩を遂げたことにより、法律制定時には想定していなかった問題が出てくるようになりました。
近年ではいわゆる"ビッグデータ"の活用にも注目が集まり、個人情報の重要性は年々増すばかりです。
このような状況に鑑み、個人情報の保護を図りつつもビッグデータを活用できるよう、改正個人情報保護法が平成29年5月30日に施行されました。
従来は管理している個人情報が5,000人以下の事業者には個人情報保護法が適用されませんでしたが、改正後は個人情報を取り扱う全ての事業者が適用の対象となりました。
ウチは零細企業だから関係ない、と思っていた社長様!
これからは他人事ではなくなるので要注意です!
まず、日頃の状況を思い返してチェックしてみましょう。
個人情報を取得するとき、何に使うのか本人に伝えていますか?
「細かいことは置いといて、とりあえずこの紙に名前と連絡先とアレやコレ書いて!」では
取得した個人情報の使用目的は守っていますか?
商品の発送に使いますとだけ言って、後から広告を送付するのは
最初から商品の発送と広告物の送付に使いますと伝える必要があります。
取得した個人情報の管理体制は万全ですか?
従業員が必要もないのに見られるような場所に置いておくのは
取得した個人情報を勝手に他人に教えていませんか?
グループ企業内だからと言って顧客情報を本人に知らせず共有するのは
共有することを予め明示すればOKです。
ついやってしまいそうなことですが意外とダメなことがあります。ひとつでもが思い当たる事業主様は続きを読んで改善に取り組む事をおすすめします。
改正によって
個人情報の定義に変更があり、
個人識別符号の定義が追加され、
要配慮個人情報が新たに規定されました。
この三つについて詳しく紹介します。
個人情報の定義の変更
改正前の法律では個人情報とは以下のように定義されていました。
『個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(中略)をいう。 』
改正法では、従来の条文に加えて『当該情報に含まれる氏名、生年月日その他の記述等』をより深く掘り下げ、以下の定義を追加しました。
『文書、図画若しくは電磁的記録(中略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項』
具体例
分かりやすく個人情報保護委員会が発表しているガイドラインを基に例示を見ると、個人情報には次のようなものが含まれます。
・本人の氏名
・生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
・防犯カメラに記録された情報等本人が判別できる映像情報
・本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
・特定の個人を識別できるメールアドレス(kojin_ichiro@example.com 等のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
・個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する。)
・官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
個人識別符号の定義が追加
「個人識別符号が含まれるもの」という以下の定義も追加され、個人情報に含まれることとなりました。
『特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの』
『利用者ごとに異なるものとなるように役務及び商品の提供又は書類に関して割り当てられる符号』
具体例
・DNAの塩基配列
・顔の骨格、目/鼻/口の位置及び形状
・指紋、掌紋
・パスポートの番号
・基礎年金番号
・運転免許証の番号
・マイナンバー
・健康保険証の番号
要配慮個人情報が新たに規定
新たに規定された「要配慮個人情報」は、
『本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。』
と定義されており、利用目的を明らかにしたうえで本人の同意を得なければ情報の取得ができません。
具体例
・人種、信条、社会的身分(アイデンティティーに関する情報)
・病歴、身体障害/知的障害/精神障害の有無(身体に関する情報)
・犯罪、犯罪被害の経歴(犯罪に関する情報)
以上をざっくりまとめると、従来より「個人情報とは何か?」が明確に定義され、その範囲がやや拡がりました。
そのため、取扱いに関する注意点も増加しています。
個人情報を取り扱うタイミングは、概ね以下の5つに分類できます。
取得 利用 保管 他人に渡す 本人から開示請求
それでは、各タイミング毎に気を付けるべきポイントをまとめていきます。
個人情報を取得する際のポイント
正しい取得
条文には『偽りその他不正の手段により個人情報を取得してはならない。』とあります。
当たり前ですが、盗撮・盗聴等の不正手段によって個人情報を取得することはもちろんダメです。
また、前回のまとめにサラッと記載しましたが、「要配慮個人情報」を取得する際は、利用目的を特定し、予め本人の同意を得る必要があります。
本人に聞きづらいからと言って他人にコッソリ教えてもらうのはダメです!
ただし、法令に基づいて取得する場合などは本人の同意なしに取得することもできます。
例えば、職場で実施した従業員の健康診断の結果などが該当します。
利用目的は明確に!
条文には『個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。』とあります。
「できる限り」というのは個人情報保護委員会のガイドラインに載っています。
『利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい』
具体例を見てみましょう。
具体例
良い例:○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。
悪い例:事業活動に用いるため。マーケティング活動に用いるため。お客様のサービスの向上に用いるため。
良い例に比べて悪い例は、捉え方によってどうとでもなりそうな決め方をしていますよね。曖昧な表現は避けて明確にしましょう。
利用目的は通知か公表が必須!
条文には『個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。』とあります。
ただし、利用目的を公表している場合でも、直接本人から契約等で個人情報を取得する場合は、利用目的を明示しなければなりません。
利用目的に不満があれば個人情報を提供しないという選択肢をちゃんと本人に提示しなさい、という趣旨ですね。
個人情報を利用する
条文には『あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。』とあります。
ただし、法令に基づく場合や人の生命・財産の保護に必要な場合には、例外的に認められることもあります。
具体例
・警察の捜査や裁判官の発する令状に基づく捜査に協力する場合
・税務調査に対応する場合 (当税理士事務所的にはココかなり重要です!)
・弁護士会からの照会に対応する場合
・急病人の血液型や家族の連絡先を医療機関に提供する場合
・大規模災害や事故等の緊急時に被災者/負傷者情報を家族や行政機関に提供する場合
・事業者間で反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、所謂"ブラックリスト"を共有する場合
・製品のリコールに伴い、販売事業者等が製造事業者に対して購入者等の情報を提供する場合
・児童虐待のおそれのある家族情報を児童相談所・警察・学校・病院等が共有する必要がある場合
・一般統計調査等に回答する場合
妥当ではありますが、以外と色々な場面で例外的に目的外利用が認められていますね。
利用目的の変更
目的を明示して取得した個人情報ですが、もし、それ以外の目的で使いたくなった場合はどうすれば良いでしょうか?
この場合、原則として本人の同意が必要になります。
ただし、『変更前の利用目的と関連性を有すると合理的に認められる範囲』であれば、変更された目的を本人に通知または公表すれば、本人の同意は不要です。
ここで言う『合理的に認められる範囲』というのは、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されます。
具体例
許容される例:「商品案内等を郵送」→「商品案内等をメール送付」
認められない例:「アンケート集計に利用」→「商品案内等の郵送に利用」
上記具体例は金融庁から発表されているガイドラインに記載されていますが、上記例から分かる通り、変更の範囲は極めて限定的にしか認められないと考えるべきです。
また、目的の変更に同意が不要でも、変更された目的は本人に通知または公表する必要がありますので注意が必要です。
保管する際のポイント
保管についてまとめる前に必要な知識として
・個人情報
・個人情報データベース
・個人データ
・保有個人データ
という4つの用語を条文を引用してご紹介します。
・個人情報とは・・・『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの』
・個人情報データベースとは・・・『個人情報を含む情報の集合物であって、特定の個人情報を検索することができるように体系的に構成したもの』
・個人データとは・・・『個人情報データベース等を構成する個人情報』
・保有個人データとは・・・『個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は6か月以内に消去することとなるもの以外のもの』
具体例として名刺で考えてみましょう。
私が誰かから頂いた名刺は氏名・連絡先が記載されていますから「個人情報」です。
何人もの人から頂いた名刺を集めて顧客名簿を作ったら、それが「個人情報データベース」です。
「個人情報データベース」に登録されている個々の情報が「個人データ」です。
そして、自社内で継続的に管理している顧客名簿が「保有個人データ」です。
1枚の名刺は「個人情報」です。それを1万枚集めてもまだ「個人情報」のカタマリに過ぎません。
名刺をあいうえお順に並べたりパソコンで名簿にしたり、"特定の個人情報を検索することができる"ようにした瞬間から、「個人データ」になり、「個人情報データベース」になります。
そして自分で追加・訂正・削除等の編集権限のある「個人データ」を継続して保有すると「保有個人データ」になります。
「保有個人データ」はほとんどの場合「個人データ」とイコールですが、イコールではない例として、6か月以内に削除することが決まっているアンケート用紙に書いてもらった連絡先や、外部から委託を受けて作成した個人情報のデータベース(=内容に関する権限が委託者にあり、受託者には権限がない場合)がこれに該当します。
つまり、保有個人データは個人データに含まれ、個人データは個人情報に含まれます。
"個人情報⊇個人データ⊇保有個人データ"となり、下の画像のようになります。
さて、ここまで用語の説明でしたが、ここからが本題です。
個人情報保護法では
「個人情報」「個人データ」「保有個人データ」の3つにおいて、それぞれ異なる取扱いを求めています。
下記の表を参照してください。
個人情報→個人データ→保有個人データと絞り込まれるごとに責任は段々と重くなっていきます。
保管に関する条文は第19条から第22条までに規定されており、対象は「個人データ」です。
「個人データ」が対象ということは当然に「保有個人データ」も対象ということは先程ご確認いただいた通りです。
では保管に際して法律が何を求めているのか、ざっくりと見てみましょう。
保管に関する心得4箇条
個人データの内容は正確かつ最新に!不要なデータはすぐに消去すべし!
個人データの漏洩等に備えて安全管理を万全にすべし!
従業員に対して指導と監督を行うこと!
外部に委託する場合は、委託した相手も監督すること!
以上の4つを守れば保管義務は果たせます。
当たり前と言えば当たり前ですが、ちゃんと守ろうと思うと大変です。
そして、ここで一番抽象的で分かりにくいのは2番目の"安全管理"かと思います。
「安全管理」で求められること
「安全管理」で求められることは以下の6つ。
基本方針の策定
個人データの取扱いに係る規律の整備
組織的安全管理措置
人的安全管理措置
物理的安全管理措置
技術的安全管理措置
従業員が100人以下で、取扱う個人情報が5,000人分以下の中小規模事業者は大企業よりちょっとだけ簡便な措置で許されています。
今回は中小規模事業者向けにまとめていきます。
基本方針の策定
「プライバシーポリシー」「個人情報保護方針」といった名称で目にしたことがある方が多いのではないでしょうか。
この基本方針に盛り込む内容としては、以下の項目等が想定されています。
・事業者の名称
・関係法令、ガイドライン等の順守
・安全管理措置に関する事項
・質問及び苦情処理の窓口
ひな形が経済産業省から出されているので、参考になさってください。
個人データの取扱いに係る規律の整備
一口に言えば、個人情報に関する社内規定を作りましょうということです。
個人データの取得・利用・保存等を行う場合の取扱方法について定めます。
当事務所の関与先様にはひな形をご用意しておりますので、必要であればお申し付けください。
組織的安全管理措置
組織内に個人情報を扱う人が複数いる場合、責任者を決めましょう。
責任者は規程に基づいた運用がされているかどうか確認し、不備があれば改善し、万が一、個人データの漏洩があれば対応する必要があります。
人的安全管理措置
個人データの取扱いについて、定期的に社員研修を行いましょう。
また、就業規則で秘密保持に関する事項を定めることも大切です。
物理的安全管理措置
個人情報を取扱うべき人以外が簡単に個人情報を見ることができないように、書類等は鍵付きの棚に保管したり、パソコン等で管理していれば権限がない者はアクセスできないようにしましょう。
また、個人情報を持ち歩く場合は、データにパスワードをかけたり、封筒に封入し鞄に入れて運んだり、盗難・紛失に備えましょう。
さらに、書類やパソコンを廃棄する際も責任者が顛末まで確認するようにしましょう。
技術的安全管理措置
物理的安全管理措置でも挙げましたが、パソコン等で管理している場合は、アクセス制限をかけて権限がある者のみが閲覧できるようにしましょう。
また、外部からの不正アクセスに備えてオペレーティングシステム(OS)やセキュリティソフトは常に最新の状態に保ちましょう。
さらに、インターネットで個人データをやり取りする場合は、パスワードを設定したり暗号化したりして情報漏洩を防ぎましょう。
以上が「安全管理」で求められる6項目です。
従業員と委託先に対する監督責任
次に【個人情報を保管する際のポイント】にでてきた、従業員と委託先に対する監督責任についてもう少し細かくご説明しておきます。
従業員に対しては上記の安全管理措置を構築するとともに、実際の運用についても確認することが求められます。
委託先に対しては、委託先においても上記の安全管理措置が講じられているかどうかを確認したうえで契約し、契約後も委託したデータの取扱状況を把握できるようにしておき、なおかつ定期的に監査を行うなどすることが求められます。
個人情報を他人に渡す際のポイント
原則として、本人の同意を得ずに個人データを第三者に提供してはなりません。
例外として、以下の場合は本人の同意なしに個人データを提供できます。
・法令に基づく場合
・生命、身体、財産保護のために必要な場合
・公衆衛生の向上、児童の健全な育成のため必要な場合
・国や地方公共団体等が法令に定める事務手続に協力する必要がある場合
・オプトアウトによる場合(※詳細後述)
・個人データの取扱いを委託する場合
・合併等の事由により事業の承継に伴って提供する場合
・共同利用する場合(※詳細後述)
※オプトアウトとは
個人データを第三者に提供することについて、あらかじめ本人に通知しておくことで、本人から提供の停止を求められない限りはこれを認めるものです。
なお、今回の法改正で新たに規定され、上記で紹介しました「要配慮個人情報」(人種、信条、病歴、犯罪歴等)についてはオプトアウトによる第三者提供は認められず、必ず本人の同意が求められます。
※共同利用とは
個人データを一定のルールのもと共同利用することについて、あらかじめ本人に通知しておくことで、本人の同意なしに個人データの提供を認めるものです。
一定のルールには、どのような個人情報を、誰が、何のために使うのか、また、責任の所在がどこにあるのかを定めます。
共同利用によりグループ企業内で総合的なサービスを提供することが可能になります。
なお、今回の改正により第三者が国内にあるか、外国にあるか、が区別されるようになりました。
外国にある第三者に個人データを提供する場合は、国内の事業者よりも厳しく規制され、原則として、オプトアウトによる場合、委託による場合、事業の承継に伴う場合、共同利用する場合による個人データの提供が認められないこととなりました。
さらに、今回の改正では第三者提供の際に、提供する側も提供される側も記録を残すことが必要になりました。
個人データの提供/受領日、相手方の氏名・名称・代表者氏名、個人データ取得の経緯等を一定期間(最大3年間)保存する義務があります。
詳細は書ききれませんので、今回のところは「なんか記録しなきゃいけないことがあるんだな」と留め置いていただければと思います。
なお、勉強熱心な方は個人情報保護委員会が公表するガイドライン(第三者提供時の確認・記録義務編)にて詳細を確認していただけます。
個人データを第三者に提供する場合は、原則として本人の同意が必要
個人データをやり取りするときは、記録を残す
以上2点に集約されます。
本人から開示請求があった際のポイント
開示等に関する条文は第27条から第33条までに規定されており、対象は「保有個人データ」です。
本人の求めに応じて、氏名・利用目的・開示請求等の手続方法・苦情窓口の連絡先などを通知する必要があります。
具体例
・問い合わせ窓口を設置し、口頭または文書で回答する体制
・店舗にパンフレットを備え置く
・自社のウェブサイトに継続して掲載する
また、保有個人データに関して、本人から開示、内容の訂正・追加・削除、利用停止の請求があった場合は、原則として、速やかに応じる義務があります。
個人情報については、今後も関心がより高くなっていく事が予想されます。
今のうちに、現状を確認し、個人情報保護法改正に対応しましょう!
藤戸琢也税理士事務所及び株式会社藤戸経営研究所はセキュリティ対策自己宣言を行っています。
情報処理推進機構(IPA)SECURITYACTIONについて
社労士診断認証制度の職場環境改善宣言を行いました。
職場環境改善宣言とは?