幻冬舎ウェブマのWebマーケティング情報ブログ

Webマーケティングの基礎や参考事例をわかりやすく解説・紹介しています。

2017年7月11日

中小企業の担当者必読! 改正版 個人情報保護法の確認事項マスト13

改正個人情報保護法が2017年5月に施行されました。これは、企業にとって注目すべき改正です。今回は、プライバシーポリシーについて解説するとともに、プライバシーポリシーでは何を表示し、どのように対応していかなければならないのかをみていきましょう。

改正個人情報保護法とは

企業のWebサイトでは、一般的にページ下部、フッターにプライバシーポリシーのリンクを置きますが、これが「飾り」になってしまっていないでしょうか。今回の改正で大きく変更のあった点は以下の3つのポイントです。

◎個人情報保護委員会が新設され、一元的な監督体制が取られることになった。
◎改正前の個人情報保護法は小規模事業者や中小企業 ※ にとっては努力目標だったが、改正によって適用対象となった。
◎情報漏えいに対する罰則が明確に規定された。

※ここでの中小企業の定義は、従業員数が100名以下で、6ヶ月間で取得する個人情報が5000人未満の企業

個人情報保護法の改正でとるべき対応は?

対応しなければならない項目は以下の通りです。
─────────────────────────
第15条:利用目的の特定
第16条:利用目的による制限
第17条:適正な取得
第18条:利用目的の通知など
─────────────────────────
第19条:データ内容の正確性の確保
第20条:安全管理措置
第21条:従業員の監督
第22条:委託先の監督
第23条:第三者提供の制限(オプトアウトによる提供)
第24条:外国にある第三者への提供制限
第25条:第三者提供に係る記録作成など
第26条:第三者者提供を受ける際の確認など
─────────────────────────
第27条:保有個人データに関する事項の公表など
第28条:開示請求
第29条:訂正請求など
第39条:利用停止請求など
第34条:上記請求に係る本人の訴訟提起
─────────────────────────
これだけ見ると頭が痛くなりそうですが、下記の見出しをザッと見ていただければ、概要を掴むことができます。気になる見出しのところを注目して読んでみてください。

改正個人情報保護法のポイント①個人情報の利用目的を明確にする

個人情報取扱業者(=企業)は、個人情報を取り扱うにあたり、個人情報を利用する目的を可能な限り「具体的に」明示しなければなりません。「具体的」がポイントです。

改正個人情報保護法のポイント②本人の同意を得る

本人の同意を得ずに、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されています。これには下記の例外があります。
──────────────────────────

A:法令に基づく場合
B:人の生命、身体、または財産の保護のために必要であって、本人の同意を得ることが難しい場合(例:車のリコールや、給湯器の不良などを知らせるために、個人情報を販売店から得ること)
C:公衆衛生の向上、または児童の健全な育成推進のために、特に必要であって、本人の同意を得ることが難しい場合(例:児童虐待を防止するために児童や保護者の個人情報を得ること)
D:国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行するに対して協力する場合(例:税務署から任意の顧客情報の提出を求められたとき)

──────────────────────────
同意を得る際に通知する場合や、親会社から分社化、合併などで事業を承継し、利用目的に沿っている場合は、本人に確認する必要はありません。

改正個人情報保護法のポイント③個人情報は適正に取得する

偽りや不正な手段によって、個人情報を取得してはいけません。不正な手段とは、以下のようなケースが該当します。

A:虚偽の情報を示して取得する場合の他、十分な判断能力を有していない子供や障害者から情報を得ること
B:第三者提供違反があることを知っている、もしくは容易に知ることができる状態にもかかわらず取得した場合
C:不正に取得された情報であることを知っている、もしくは容易に知ることができたにもかかわらず、個人情報を得た場合

改正個人情報保護法のポイント④個人情報取得に際して利用目的を通知する

個人情報を取得する場合、その利用目的をあらかじめ公表しなければなりません。利用目的を知らせずに取得してしまった場合は、速やかに通知するか、公表しなければなりません。

Webサイトでは、アクセスしやすいTOPページの1階層目などに公表しておけばいいので、フッターにプライバシーポリシーのリンクを設置しておきましょう。また書面上で契約する際も、個人情報を取得する際は利用目的を記載してある旨を伝えるか、わかりやすく表示しなければなりません。ただし、人(法人)の生命や財産の保護に緊急性を要する場合は、事前に本人に通知する必要はありません。

改正個人情報保護法のポイント⑤個人情報は安全に管理しなければならない

安全管理のポイントとしては、以下の項目を具体的に実行するよう示されています。
──────────────────────

A:組織として取り組むための基本方針を策定すること。
B:個人データの具体的な取り扱い規律を整備すること。
C:組織としての責任者を設置し、整備した取り扱い規律どおりに運用されているか監督すること。
D:従業員に適切な教育を実施すること。
E:個人情報が保管されているサーバーや電子媒体の盗難や紛失を「物理的」に防止する体制をつくること。
F:情報システムへの不正アクセスを「技術的に」防止する体制をつくること。

──────────────────────
ただし中小企業に関しては、普段の事業に支障がでないように緩やかな指定となっています。大まかには、先述のポイントを責任者が監督するというものです。
詳しくは「個人情報保護法ガイドライン(通則編)」の86ページからをご覧ください。

・ 個人情報ガイドライン https://www.ppc.go.jp/personal/legal/
また、情報が漏洩してしまった場合は、「個人情報保護委員会」に報告する努力義務があります。
・個人情報保護委員会:https://www.ppc.go.jp/
・漏洩してしまった場合:https://www.ppc.go.jp/personal/legal/leakAction/

改正個人情報保護法のポイント⑥従業員を監督する

ここでの従業員とは、正社員だけではなく、アルバイトやパートの他、取締役や理事、監査役
を含みます。設定した安全管理措置が適切に行われていることを確認し、個人情報を記録した媒体、パソコンなどの持ち出しなどによる紛失や漏洩を起こさないよう、指導する必要があります。

後編では引き続いて、ポイントの⑦~⑬を紹介します。

改正個人情報保護法のポイント⑦個人情報委託先を監督する

個人情報の取り扱いを委託する場合は、自社の安全管理措置と同等の管理を、委託先も行っているのかどうか監督しなければなりません。委託契約を結ぶ際には、安全管理措置について確認できる条項を設ける必要があります。確認内容については主に以下の7項目が挙げられます。

A:業務委託の内容
B:利用目的の明記
C:安全措置管理
D:定期的な監査
E:再委託(孫請け)の可否
F:漏洩発生時の責任
G:契約終了時の個人情報の取り扱い

改正個人情報保護法のポイント⑧個人情報を第三者に提供することを制限する

第三者に個人情報を渡す場合には、あらかじめ本人同意を得る必要があります。ただし、下記23条1項の場合は例外となります。

23条1項──────────────────────────
1】法令に基づく場合
2】人の生命、身体、または財産の保護のために必要であって、本人の同意を得ることが難しい場合(例:車のリコールや、給湯器の不良などを知らせるために、個人情報を販売店から得ること)
3】公衆衛生の向上、または児童の健全な育成推進のために、特に必要であって、本人の同意を得ることが難しい場合(例:児童虐待を防止するために児童や保護者の個人情報を得ること)
4】国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行するに対して協力する場合(例:税務署から任意の顧客情報の提出を求められたとき)
──────────────────────────
また、以下のオプトアウトの方式を使えば、本人の同意を得ずに個人データを第三者に渡すことができます。この主な対象者はいわゆる名簿業者ですので、その他の方は読み飛ばしてもいいでしょう。
──────────────────────────
※第三者への提供のオプトアウトとは

・個人情報の利用目的の内容に、第三者への提供を含める必要があります。
・本人への通知
本人に分かりやすい場所に、適切な期間、下記の内容を表示しておくこと。
A:第三者への提供を利用目的に含める
B:第三者に提供する個人データの内容の表示
C:第三者への提供の方法の表示
D:本人の求めに応じて第三者への提供を停止できること
E:上記本人の求めを受け付ける方法の表示

・上記A~Eの内容をオプトアウト手続きとして個人情報保護委員会に届け出なければなりません。

具体的には下記URLのページをご覧ください。
https://www.ppc.go.jp/personal/legal/optout/

※ただし、今改正から指定された「要配慮個人情報」に関しては、オプトアウトの方式での提供はできません。この要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実そのほか他人に対する不当な差別、偏見その他の不利益が生じる」ような、特に配慮しなければいけない個人情報です。
──────────────────────────

・また、改正にともない、個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的でその個人情報データベース等を第三者に提供し、又は盗用する行為を処罰する、「データベース提供罪」が新設されました。

改正個人情報保護法のポイント⑨外国の第三者へ個人情報を提供する際の制限

外国にある第三者へ個人情報を提供する場合には、この旨に関して、本人の同意を得なければなりません。海外のサーバーに個人情報を置く場合も該当します。
これは、保護水準の低い海外に個人情報が移転された場合、いったん情報が漏洩されてしまうと防ぎようがないという観点から作られたものです。ただし、例外として先述の23条1項に当てはまる場合は、この限りではありません。

改正個人情報保護法のポイント⑩個人情報を第三者に提供したり提供を受けたりする際の確認

第三者から個人情報の提供を受ける場合には、第三者がどのように個人情報を取得したのか、その経緯を把握する義務を負い、個人情報を提供、または取得する場合においては、第三者の氏名を記録しなければなりません。
この法の目的は違法行為が発覚際、どの段階で違反したのか追跡できるようにするためです。

改正個人情報保護法のポイント⑪本人の求めに応じ、取得した個人データを開示する

企業がどのような情報を取得しているのかを確認したいとき、本人から開示を申請することができます。さらにこの請求に企業が応じない場合は、訴訟を起こすことができます。
企業がこの請求を拒否しない場合でも、本人の求めから2週間が経過すれば裁判所に訴えることができます。この2週間とは、祝日を除いた日数で計算します。

改正個人情報保護法のポイント⑫求めに応じて、個人データの訂正、削除を行う

「削除」とは必要のない一部データのことで、全てのデータを消すことではありません。「利用目的に必要のない」情報の削除申請、正しくない情報の訂正申請ができます。この申請に対して企業が拒否したり、本人の求めから2週間が経過したりした場合は、訴訟することができます。

改正個人情報保護法のポイント⑬個人情報の利用停止請求に応じる

保有している個人データが利用目的制限に違反している場合や、適正な取得方法を経ていない場合は、本人の求めに応じて個人データの利用停止、もしくは消去をしなければなりません。
ここでの「消去」とは、完全に消去することのほかに、個人を特定できない加工情報にすることも消去に含まれます。
逆に言うと、適正に取得し、通知したとおりの目的で使用している分には、消去しなくてもいいということです。個人として個人情報を提供する際は、十分注意するべきともいえます。
また、個人情報を利活用しなくなった際には消去する義務があります。こちらも注意してください。

最後に

今回の改正で対応が必要なのは、今まで対応してこなかった小規模事業者です。
他社のプライバシーポリシーをコピーして済ませてしまうと、今回の改正には対応できません。
法律と聞くと頭が痛くなりますが、基本的な考え方を押さえるだけであれば、それほど時間のかかるものではありません。逆に言えば、これだけを知っておけばいいものですので、一度見直してみてはいかがでしょうか。
当社でも今回の改正に合わせたプライバシーポリシーを作成いたしましたので、ぜひご参考ください。

ブログトップへ戻る