小規模事業者に大きな影響のある改正個人情報保護法が施行されました

改正個人情報保護法は平成29年5月30日に施行されました

「あなたの会社が保有している私の個人情報を開示してください。」

「個人情報の利用目的を教えてください」という問い合わせに対応できますか?

まず、法律自体を知らなければ何を言ってるのか、何をすべきなのか分からないですよね。

これまで規制対象外だった5000人以下の個人データー保有の事業者は、法律改正により、除外規定がなくなったので規制対象となります。

揚げ足をとられないためにも、きちんと対応しましょう!

 

改正個人情報保護法の改正ポイントを簡潔に紹介

  • ビッグデータの活用・・・商業利用(第三者提供)するために「匿名加工情報」を新たに定義付け
    ⇒ポイントカードの購買情報などは、現実に活用されているので、消費者にとっては、あまり変わらない。
    ⇒変わるポイントとしては、今まで自社内利用だったのが第三者提供(商業利用)できること匿名加工情報取扱事業者として規制されること。
  • 個人情報の定義を今までざっくりしてたものを細かくした
    ⇒「要配慮情報」を新たに定義づけ、「個人識別符号」をきちんと定義づけ
    ⇒現実的には適用されていたので、これまでとは変わらない。「センシティブ情報」といわれているが、一般的に言われている「センシティブ情報」よりは限定的で当たり前のことなので、個人的には、一般的に言われている「センシティブ情報」のほうを注意すべき。
    ⇒「要配慮情報」は本人の人種、信条、社会的身分、病歴、犯罪の経歴など、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものと定義付けられている。
    ⇒したがって、スリーサイズや体重などの知られたくない個人的な秘密は含まれない。しかし、これらの情報が流出すると損害賠償請求される可能性があるので、エステ・マッサージなどの事業者は特に要注意。
    ⇒ただし、個人経営者でも、心の病などのカウンセリングは「病歴」を保有することになるので要注意。
  • 今まで法律の適用除外だった5000人以下の個人情報取扱事業者も、除外規定がなくなったので、法律の適用対象となる。

何をすればいいのか?

  • すでに個人情報取扱事業者として法律の適用対象であり、これまでに適正に対応してきた事業者は、匿名加工情報を取り扱ったりするのでなければ、これまでとあまり変わりません。プライバシーポリシーなどの個人情報の定義を修正してください。
  • 実は、個人情報取扱事業者だったのに、対応していないという事業者は、今回をきっかけに対応してください。
  • これまで適用除外で、今回、新たに個人情報取扱事業者となった場合は、個人情報保護法の基本的な知識を学び、個人情報の収集管理について適正に対応するとともに、プライバシーポリシーやホームページなどのお問い合わせフォームに個人情報の利用目的などを追加してください。
特にホームページの個人情報に関係する表示について確認してください

 

どうやって学べばいいのか?

自分で勉強する

  • 下記の資料等を読んで勉強する
  • ガイドラインを読めば、法律解釈等もきちと説明している
  • 具体的な疑問等はQ&Aで示されている

デメリット

  • 大量で読み込めないし、ポイントが分からない
  • 具体的に自社にどう落とし込めばよいのか分からない
  • ホームページにどう反映させたらいいのか分からない
  • プライバシーポリーシーを作りたいが難しい
  • 時間がないので自分では無理(「下記のサポートを受ける」を呼んでください)

サポートを受ける

企業・団体等

  • 個人情報に関する社内研修をする
    社内講師、社外講師

個人経営者

  • 商工会議所等の公的機関の主催するセミナーに参加する
  • 専門家の個別コンサルティングを受ける

公的機関の専門家派遣制度を利用する

  • 商工会議所・商工会連合会、中小企業支援機関、ミラサポ等を利用する

私のサポートを受ける

関連記事

新たに適用となる「小規模事業者」向けのガイドライン

「保有する個人情報が5000人以下の企業」は適用除外の例外規定がありましたが、このたびの改正法では撤廃されたことから、基本的にはすべての事業者が個人情報取扱事業者となります。

取り扱う個人情報は、顧客だけでなく、従業員も含みます。なお、従業員を雇用していた場合は「マイナンバー」も取り扱うことになるので、「個人情報取扱事業者」よりも厳しい管理が求められる「個人番号取扱事業者」にもなります。マイナンバー制度はすでに施行されています。

ただし、小規模事業者に対して、これまでのような対応を求めることが難しい場合もあるので、ガイドラインの策定にあたっては「小規模事業者に配慮する」旨が規定されています。

具体的には、管理者の体制などが簡素化されます(そんなに大きな違いはないと思います)。詳しくは、基本原則が示されている『個人情報の保護に関する法律についてのガイドライン(通則編)86~98ページ』を参照してください。

小規模事業者に配慮する事例(94ページ)

講じなければ
ならない措置
手法の例示 中小規模事業者における手法の例示
(1)個人データを取り扱う区域の管理 (管理区域の管理手法の例)
・入退室管理及び持ち込む機器等の制限等
なお、入退室管理の方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる。
(取扱区域の管理手法の例)
・壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止
・個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。

コメント

たとえば、個人データを入力しているパソコンにログインIDとパスワードをかけて、離席するときはロックをかけるか部屋に施錠する。紙ファイルの個人データーは書棚に保管して施錠する、という感じでしょう。

ガイドライン・QA等

個人情報保護委員会 > 個人情報保護法について > 法令・ガイドライン等
http://www.ppc.go.jp/personal/legal/

共通して重要なもの

必要な事業者のみ

小規模事業者(=中小規模事業者)の定義

従業員の数が100人以下の事業者(「取り扱う個人情報の数が5000人を超える事業者」や「委託に基づいて個人データを取り扱う事業者」を除きます」

個人情報保護法ガイドライン(通則編)86ページより引用

(※1)「中小規模事業者」とは、従業員(※2)の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において 5,000 を超える者
・委託を受けて個人データを取り扱う者
(※2)中小企業基本法(昭和 38 年法律第 154 号)における従業員をいい、労働基準法(昭和 22 年法律第 49 号)第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

平成28年11月~平成28年2月にかけて行われた説明会の日程・資料

個人情報保護委員会のHP・・・https://www.ppc.go.jp/

個人情報保護委員会 > 個人情報保護法について > 広報資料・各種説明会等 > 中小企業向け個人情報保護法の全国説明会(平成28年度)
http://www.ppc.go.jp/personal/pr/28_national-briefing_chusho/

説明会資料

説明資料 (PDF:898KB)

参考:中小規模事業者向け 個人情報保護法の5つの基本チェックリスト(平成28年10月)
(PDF:1138KB)

改正個人情報保護法の施行までのスケジュール

  • 平成27年3月に改正個人情報保護法が閣議決定されましたが、マイナンバーの情報漏えい事件の余波もあり審議が遅れていました。
  • その後、平成26年9月3日に改正個人情報保護法の成立し、9日に公布されました。同時に改正マイナンバー法も成立しました。
    改正個人情報保護法の施行日は確定していませんが、1年6ヶ月以内に施行となっています。
  • 改正内容については、平成27年3月の段階での改正案から、特に大きな改正内容の変更はなく、成立しました。
  • 平成28年10月に法律を所管している個人情報保護委員会が「小規模事業者向け説明会」の開催告知をしましたが、その中で、改正個人情報保護法は「平成29年春頃予定」と書かれています。
    ⇒平成29年5月30日施行に決定しました
  • おそらく、9月を待たず、早ければ、平成28年4月1日施行になるのではないかと思います。ただし、中途半端な施行日もありうるので、4/9、5/1などが考えられます。
  • 10月末現在、ガイドライン案が公表されており、意見募集がされています。今読むと混乱しそうなので、正式決定してから読み込んで記事を書きたいと思います。
    ⇒11/30以降、順次、各種ガイドラインが公表されています
  • 平成29年5月30日に施行されました。ガイドライン等はすべて出揃っています。

関連記事

人気記事

「サイトに住所を出したくない」という個人事業主の悩み