幻冬舎ウェブマのWebマーケティング情報ブログ

Webマーケティングの基礎や参考事例をわかりやすく解説・紹介しています。

2017年7月11日

【前編】中小企業こそチェックすべき 改正個人情報保護法のポイントまとめ

改正個人情報保護法が2017年5月に施行されました。これは、企業にとって注目すべき改正です。今回は、プライバシーポリシーについて解説するとともに、プライバシーポリシーでは何を表示し、どのように対応していかなければならないのかをみていきましょう。前編では、ポイントの①~⑥を紹介します。

改正個人情報保護法とは

企業のWebサイトでは、一般的にページ下部、フッターにプライバシーポリシーのリンクを置きますが、これが「飾り」になってしまっていないでしょうか。今回の改正で特に注目しなければならないことは、以下の2つのポイントです。

①改正前の個人情報保護法は中小企業 ※ にとっては努力目標だったが、改正によって全企業が対
応しなければならなくなった。

②情報漏えいに対する罰則が明確に規定された。

※ここでの中小企業の定義は、従業員数が100名以下で、6ヶ月間で取得する個人情報が5000人未満の企業

個人情報保護法の改正でとるべき対応は?

対応しなければならない項目は以下の通りです。
─────────────────────────
第15条:利用目的の特定
第16条:利用目的による制限
第17条:適正な取得
第18条:利用目的の通知など
─────────────────────────
第19条:データ内容の正確性の確保
第20条:安全管理措置
第21条:従業員の監督
第22条:委託先の監督
第23条:第三者提供の制限(オプトアウトによる提供)
第24条:外国にある第三者への提供制限
第25条:第三者提供に係る記録作成など
第26条:第三者者提供を受ける際の確認など
─────────────────────────
第27条:保有個人データに関する事項の公表など
第28条:開示請求
第29条:訂正請求など
第39条:利用停止請求など
第34条:上記請求に係る本人の訴訟提起
─────────────────────────
これだけ見ると頭が痛くなりそうですが、下記の見出しをザッと見ていただければ、概要を掴むことができます。気になる見出しのところを注目して読んでみてください。

改正個人情報保護法のポイント①個人情報の利用目的を明確にする

個人情報取扱業者(=企業)は、個人情報を取り扱うにあたり、個人情報を利用する目的を可能な限り「具体的に」明示しなければなりません。「具体的」がポイントです。

改正個人情報保護法のポイント②本人の同意を得る

本人の同意を得ずに、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されています。これには下記の例外があります。
──────────────────────────

①法令に基づく場合

②人の生命、身体、または財産の保護のために必要であって、本人の同意を得ることが難しい場合(例:車のリコールや、給湯器の不良などを知らせるために、個人情報を販売店から得ること)

③公衆衛生の向上、または児童の健全な育成推進のために、特に必要であって、本人の同意を得ることが難しい場合(例:児童虐待を防止するために児童や保護者の個人情報を得ること)

④国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行するに対して協力する場合(例:税務署から任意の顧客情報の提出を求められたとき)

──────────────────────────
同意を得る際に通知する場合や、親会社から分社化、合併などで事業を承継し、利用目的に沿っている場合は、本人に確認する必要はありません。

改正個人情報保護法のポイント③個人情報は適正に取得する

偽りや不正な手段によって、個人情報を取得してはいけません。不正な手段とは、以下のようなケースが該当します。

①虚偽の情報を示して取得する場合の他、十分な判断能力を有していない子供や障害者から情報を得ること

②第三者提供違反があることを知っている、もしくは容易に知ることができる状態にもかかわらず取得した場合

③不正に取得された情報であることを知っている、もしくは容易に知ることができたにもかかわらず、個人情報を得た場合

改正個人情報保護法のポイント④個人情報取得に際して利用目的を通知する

個人情報を取得する場合、その利用目的をあらかじめ公表しなければなりません。利用目的を知らせずに取得してしまった場合は、速やかに通知するか、公表しなければなりません。

Webサイトでは、アクセスしやすいTOPページの1階層目などに公表しておけばいいので、フッターにプライバシーポリシーのリンクを設置しておきましょう。また書面上で契約する際も、個人情報を取得する際は利用目的を記載してある旨を伝えるか、わかりやすく表示しなければなりません。ただし、人(法人)の生命や財産の保護に緊急性を要する場合は、事前に本人に通知する必要はありません。

改正個人情報保護法のポイント⑤個人情報は安全に管理しなければならない

安全管理のポイントとしては、以下の項目を具体的に実行するよう示されています。
──────────────────────

①組織として取り組むための基本方針を策定すること。

②個人データの具体的な取り扱い規律を整備すること。

③組織としての責任者を設置し、整備した取り扱い規律どおりに運用されているか監督すること。

④従業員に適切な教育を実施すること。

⑤個人情報が保管されているサーバーや電子媒体の盗難や紛失を「物理的」に防止する体制をつくること。

⑥情報システムへの不正アクセスを「技術的に」防止する体制をつくること。

──────────────────────
ただし中小企業に関しては、普段の事業に支障がでないように緩やかな指定となっています。大まかには、先述のポイントを責任者が監督するというものです。
詳しくは「個人情報保護法ガイドライン(通則編)」の86ページからをご覧ください。

・ 個人情報ガイドライン https://www.ppc.go.jp/personal/legal/

また、情報が漏洩してしまった場合は、「個人情報保護委員会」に報告する努力義務がありま
す。

・個人情報保護委員会:https://www.ppc.go.jp/

・漏洩してしまった場合:https://www.ppc.go.jp/personal/legal/leakAction/

改正個人情報保護法のポイント⑥従業員を監督する

ここでの従業員とは、正社員だけではなく、アルバイトやパートの他、取締役や理事、監査役
を含みます。設定した安全管理措置が適切に行われていることを確認し、個人情報を記録した媒体、パソコンなどの持ち出しなどによる紛失や漏洩を起こさないよう、指導する必要があります。

後編では引き続いて、ポイントの⑦~⑬を紹介します。

ブログトップへ戻る