個人情報保護法への具体的な対応 その1 法律の内容

先日書いた「個人情報保護法の改正により小規模事業者に大きな影響(2015年3月15日)」の記事がとんでもない反響があり、関心の高さを感じました。
そこで続きを書くことにしました。

前回は、個人情報保護法の改正で、これまで法の適用除外であった「保有する個人情報の数が5000人以下」の事業者も、法の適用対象になることを説明しましたが、

今回は、実際にどのように対応していったらいいのかということを考えていきますが、その前に、まず、個人情報保護法の内容について解説したいと思います。

270318-kojin2

現行法で何かあったときに適用対象外の事業所はどうなるのか?

実際問題として、適用除外の事業者に何か問題があったときには、現行の法律では法の適用自体は対象外になりますが、何の罰もないのかというと、そうではなく、この法律が準用されると考えます。要は、『法の適用対象ではないけれども、法と同等の対策対応をしてくださいよ』ということです。立法の趣旨は5000人以下の事業者だったら法を守る必要がないというのではなく、例外的に除外しただけの話です(今度の改正ではこの例外がなくなったということですね)。

適用対象外の事業所は、個人情報保護法に基づく違反や罰則の適用対象にはなりませんが、たとえば、民法などでもプライバシーの侵害や賠償責任を追及することができますし、裁判になったときには、当然、個人情報保護法を準用して判断がされると思います。

現行法での対応を知ろう!

準用されるのであれば、今の法律に対応できるように考えたらいいのです。

個人情報保護法の解説本は多く出版されていますし、消費者庁のHPでも詳しく解説していますので、より細かいところを知りたければ勉強していただいたらいいと思います。と言っても、時間もないし、読んでもわからないし、読む気もおこらないと思います。

消費者庁HP
ホーム > 消費者制度課 > 個人情報の保護
http://www.caa.go.jp/planning/kojin/index.html

そこで、細かいところはおいといて、大まかなポイントを解説したいと思います(わかりやすくするために、はしょってるところもあるので、著名な先生方の解説とは表現が異なるところがあります)。

また、今後、法律が改正されたとしても、言葉の定義や扱うデータがかわるだけで、普通の事業者であれば、現行法の対応をしていれば、少し応用するだけですむと思いますので、今から準備しておいたらいいのではと思います。

対象となる個人情報とは

『データベース化された個人情報』です

ここで2つのキーワードが出てきました。

「個人情報」と「データベース(個人情報データベース等)」です。その間にもう1つ「個人データ」というのがあり、あわせて3つの言葉を理解する必要があります。

個人情報に関する3つの言葉
  1. 個人情報
    特定の個人を識別することができるもの(一般的な話)
    ⇒Aさんは**大学出身で住所は**で電話番号が**でメルアドが**で勤務先は**で家は持ち家で**銀行に口座があり生年月日は**である
  2. 個人データ
    その個人情報の中から特定の情報を集めたものを個人データ(ここから事業者が持つ情報)
    ⇒Aさんは**大学出身でメルアドが**で勤務先は**である
    (参考)この中でも事業者が開示訂正削除等の権限を有するデータを「保有個人データ」といいます(特に気にしなくてもいいです)。
  3. 個人情報データベース等
    個人データがデータベースのように整理されているものが個人情報データベース等
    ⇒**に勤めている**大学出身のメルアドつきエクセル名簿

※具体的に個人情報に該当するかどうかという個別ケースがあると思いますが、書ききれませんので消費者庁のHPのQ&A等を参照してください。要望があれば書くかな?
たとえば、メールアドレス単独では個人が特定される場合もあるし特定されない場合もあるしケースバイケースのこともあります。

個人情報データベース等

基本的には、パソコンのエクセル等で整理されたものが該当すると考えたら分かりやすいです。また、個人情報データベース「等」ということで、この「等」には紙ベースでのデータも含まれます。きれいに整理されたものもあれば、昔の「あいうえお」順にツバがついてて、めくったら電話番号が分かるような電話帳も含みます。

要は、調べたいときに何らかの方法で検索して見つけることができる形になっているものです。

記名式のアンケートをぐちゃぐちゃと箱に入れっぱなしにしておけば、単なる個人データですが、紙を名前順に束ねたり、エクセルに入力すれば個人情報データベースとなります。

個人情報取扱事業者とは
  • 法律が適用されるのは「個人情報取扱事業者」ということになりますが、その定義は「個人情報データベース等を事業に使用している」場合となります。
  • 5000人を超える個人データを保有する場合
    ⇒6ヶ月以上保有するデータとの但し書きがあります。これは、たとえばアンケート調査で集計が終わって個人データを廃棄する場合などは一時的に保有ということで除外されるということですね。
事業とは

反復継続して社会的に事業と認められるもので、営利・非営利を問いません
私的に使うもについては対象外ですが、自治会や同窓会などは対象となります。

消費者庁のQ&A

自治会などの団体は事業者扱いになるけれども、5000人を超えることがないだろうから、事業者になることは少ないと説明されていましたが、改正法で5000人の枠が削除されたらどうなるのでしょうね。いずれ、ガイドライン等が出ると思います。

ここまでで、「誰が」「何を」「何のために」の部分がわかたっと思います。
⇒「個人情報取扱事業者が」「個人情報データベース等を」「事業に使用する場合に」で、最後に「どうなるのか」すなわち、何をしなければならないのか、について説明します。

個人情報取扱事業者にどんな義務があるのか?

大きく2つの場合があります。

  1. データの収集時
  2. データーの保管時
1.データの収集時(15条~18条)
  • 第15条(利用目的の特定)
  • 第16条(利用目的による制限)
  • 第17条(適正な取得)
  • 第18条(取得に際しての利用目的の通知等)
2.データーの保管時(19条~27条)
  • 第19条(データ内容の正確性の確保)
  • 第20条(安全管理措置)
  • 第21条(従業者の監督)
  • 第22条(委託先の監督)
  • 第23条(第三者提供の制限)
  • 第24条(保有個人データに関する事項の公表等)
  • 第25条(開示)
  • 第26条(訂正等)
  • 第27条(利用停止等)

基本理念は適用除外の小規模事業者にもあてはまる

「5000人以下の個人情報の取扱事業者はこの法律の適用除外となる」と説明してきましたが、正確に言うと、すべてが除外になるのではなく、「個人情報取扱事業者」に対しての義務が除外になるということです。すなわち、法律の前のほうに書かれている基本的な理念は、すべての事業者が守らなければならないものです。

消費者庁Q&A「「個人情報取扱事業者」に該当しない小規模事業者は、個人情報保護法を守る必要はないのでしょうか」より

個人情報保護法の義務は課せられないとしても、「個人情報は、個人の人格尊重の理念の下に慎重に取扱われるべきものであることにかんがみ、その適 正な取扱いが図られなければならない」(法第3条)という個人情報保護法の基本理念を尊重して、個人情報の保護に自主的に取り組むことが望ましいところで す。

なお、事業分野によっては、各省庁の定めるガイドラインにおいて、個人情報取扱事業者に該当しない事業者に対してもガイドラインの遵守を求めている場合があります。

その他

次回以降は、上に羅列している義務の解説や、義務を守るためにHPでどのような表示をすればいいのかなど具体的にどのようなことをしたらいいのかについて書きます。


はりまコーチング協会では、HPに表示するプライバシーポリシー(個人情報保護法)、特定商取引法にもとづく表示(通信販売)、利用規約等に関するセミナーや個別相談を承っています。

関連記事

個人情報保護法の改正により小規模事業者に大きな影響(2015年3月15日)」
個人情報保護法への具体的な対応 その2 事業者の義務(2015年4月1日)」