早急の対策を忘れずに
改正個人情報保護法の今年5月30日からの全面施行が迫ってきた。同法は、個人情報を扱う事業者は規模を問わず対象となる。しかし利用を厳しく制限したマイナンバー法とは異なり、同法は個人情報を利用するためのルールを明確化した法律であり、むしろビジネスチャンスと捉えることもできる。そこで特集では、当所ビジネス情報誌「月刊石垣」(2月号)に掲載し好評だった影島広泰弁護士が同法を「Q&A形式」で解説した記事を転載して紹介する。
回答者
牛島総合法律事務所 弁護士
影島広泰 かげしま ひろやす
一橋大学法学部卒業。平成15年弁護士登録。牛島総合法律事務所に入所し、企業法務の第一線で活躍中。ITシステム・ソフトウエアの開発・運用、個人情報・プライバシー、ネット上のサービスや紛争に関する案件を多く手掛ける。「企業・団体のためのマイナンバー制度の実務対応」(清文社)などの著作がある。
──個人情報保護法の改正の背景を教えてください。
個人情報保護法は平成15年5月に成立し、17年4月から全面施行された法律です。住所・氏名などにより特定の個人を識別することができる情報を保護すると同時に、新たな産業を創出することなどを目的としていました。それから約10年が経過する間に、コンピューターの能力が一段と高くなり、ビッグデータと称される大量の情報が蓄積・分析・ひも付けされて企業活動に生かされるようになりました。また通信技術が発達し、SNSなどを通じて情報が一瞬にして拡散する時代を迎えています。
これらによって個人の情報の拡散やプライバシーが侵害される可能性が高くなったため、法律が改正されることになりました。27年9月9日に公布され、28年1月に個人情報保護委員会が設置されました。そして改正個人情報保護法は29年5月30日の全面施行が決まっています。また、オプトアウトによる第三者提供に関する個人情報保護委員会への届け出は3月1日から始まっています。
──改正のポイントを教えてください。
表のように6つのポイントがあります。その中で6番目の「その他改正事項」にある「取り扱う個人情報が5000人以下の小規模取扱事業者への対応」は、中堅・中小企業にも大きな影響があると予想されます。
現行法では多くの中堅・中小企業は「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害する恐れが少ないものとして政令で定める者」(取り扱う個人情報の数が5000人以下の者)に該当し、法律の適用が除外されていました。しかし、改正法では除外規定が廃止され5000人以下の小規模取扱事業者も「個人情報取扱事業者」に該当します。そのため、すべての事業者に個人情報保護法が適用されることになります。
──小規模取扱事業者が改正法施行までにやっておくべきことは何ですか。
まず社内のどこに、どのような個人情報(個人データ)があるのかを洗い出す作業です。個人情報の場所が分かれば、それらが漏えいしないような対策を立てられます。
個人情報とは特定の個人が識別できる情報の全てを指し、典型的なものは顧客情報でしょう。それ以外にも、顧客企業の代表者の名前や自社に出入りする業者(例えば弁当店の担当者名なども)、店舗に設置した監視カメラの映像も該当します。そのため、社内のどこに個人情報が存在するのかを把握してリスト化することが極めて重要になります。
個人情報が存在する場所はパソコンや紙の顧客名簿に限らず、営業担当者が使っているスマートフォンの中にもアドレス帳として入っているはずです。個人情報の存在場所を洗い出す作業は長い期間と大きな負担を伴うため、早い段階から着手しましょう。
リスト化が済めば後は漏えいを防ぐ対策を講じればよいので、それほど難しくありません。個人情報保護委員会が公表しているガイドラインを参考にして対処してください。
──従業員が集めた取引相手の名刺を名刺管理ソフトを使って一元管理し、社内で共有しても問題ありませんか。
名刺管理ソフトなどに入力された情報は典型的な個人情報ですが、社内で共有する分には問題はありません。個人情報保護法は、情報の利用に厳しい制限のあるマイナンバー法とは異なり、プライバシーを保護しつつ、情報を利用するためのルールを定めたビジネス寄りの法律です。 個人情報の利用は、収集時に目的を伝えていれば問題ありません。もっとも名刺交換時にはわざわざ利用目的を告げることはありません。法律には例外規定があり、「取得の状況からみて利用目的が明らかであると認められる場合」は例外の扱いになるからです。名刺交換は今後の連絡のためという利用目的が明らかです。ただしその名刺をダイレクトメールの発送などに用いることは、自明の利用目的に該当しない場合がありますので注意しなければなりません。 もうひとつ典型的な例は店舗の防犯カメラです。防犯のために撮影していることが明らかなので、利用目的を通知しなくてもよいのです。コンビニに行くと分かりますが、防犯カメラは目立つ位置に取り付けられているため、客は撮影されていることを分かっています。念のため「防犯カメラ作動中」というステッカーを張っている店も多いですね。逆に防犯目的でも隠し撮りは利用目的が明らかであるとはいえません。また防犯目的以外に利用するケースでは、利用目的を明確にしなければなりません。
──どのような手段で利用目的を伝えればよいのでしょう。
目的を伝える手段には「通知」「公表」と「明示」があります。 通知とは本人にチラシなどを直接手渡すことや口頭、自動音声などで知らせること。電子メールやFAX、郵送も含まれます。
公表は不特定多数の人に知らせることを目的とし、自社のホームページのトップから1回程度の操作で到達できる場所へ掲載するか、店舗・事務所の顧客が訪れる場所にポスターを掲示したりパンフレットを置いたりします。通信販売では通販用のパンフレットやカタログに掲載します。
明示は契約書上に明記したり、ホームページ上で個人情報を集めるなら分かりやすい場所(同意ボタンの近くなど)への表示です。
例を挙げると、商店街の事務局が購買の動向を調査する記名式アンケートを実施するケースでは、客にアンケートを書いてもらう各店舗は、利用目的を明示しなければなりません。各店舗のアンケートを集計する商店街の事務局は、ホームページに「購買の動向を調査するために使用します」などと目的を通知または公表しておけばよいとされています。
──書面に明記されていれば、お客さまに断りなく個人情報を使ってもよいのですか。例えばDVDをレンタルするときに申し込み書類に個人情報を記入する場合です。客は身分確認のためと解釈していると思いますが、書面に「DMにも使います」と書いておけば使えるのですか。
それは構いません。個人情報保護法は情報の利用を制限しているわけではありませんので、DMにも使うと本人に明示してあれば、客は「DM目的で使わないでくれ」と要求することはできません。DMに使われることを承諾するか、会員になるのをやめるしかありません。ただし個人情報の中にも、ビジネス上の情報と、私生活上の情報があります。プライバシーを侵害するような情報を集めると、問題が起こる可能性があります。
法令違反には刑罰も
──書面の文言のひな形はありますか。
現時点で公的機関がひな形として公開しているものがないため、他社の例などを参考にし、独自のものを作成することになるでしょう。顧問弁護士に完成した文言のチェックを受けるとよいでしょう。
──マイナンバーの保管方法は非常に厳格です。個人情報の保管は、どのようにすればよいのでしょうか。
情報管理には4つのポイントがあります。①個人情報の安全管理のために必要かつ適切な措置、②従業者に対する必要かつ適切な監督、③委託を受けた者に対する必要かつ適切な監督、④データ内容の正確性の確保などです。このうち重要なのは①~③で、「必要かつ適切な措置」や「必要かつ適切な監督」については、個人情報保護委員会のホームページにある「個人情報保護に関する関係省庁のガイドライン等」を参照してください。
──具体的には社内の安全管理措置として何をしなければなりませんか。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」に準拠して次の①~⑥の措置を講じてください。
①基本方針の策定
②個人情報取り扱い規定整備
③組織的・安全管理措置
④人的・安全管理措置
⑤物理的・安全管理措置
⑥技術的・安全管理措置
このうち①は義務ではありません。中堅・中小企業では、②については基本的な取り扱いを定めた社内規定をつくります。「個人情報が漏えいしないように責任者がきちんと管理する」と定めておきます。③は社内で個人情報の取り扱いの責任者を決めて管理する体制をつくります。④については従業員に個人情報を保護することの重要性を認識させ、教育を徹底します。⑤に従うと、個人情報を保管するコンピューターやサーバーが置いてある管理区域と、情報を使って事務を行う取り扱い区域に分けることになります。中堅・中小企業ではパソコンがある場所での業務が想定されますので、パソコンが盗まれないようなセキュリティーを施し、データの盗難やのぞき見されないような措置を講じておけばよいでしょう。個人情報が入ったノートパソコンを持ち運ぶときは紛失しないように特に注意し、万が一に備えてパスワードでロックしておきます。個人情報が印字された用紙を放置したり、そのままゴミ箱に捨てたりしてはいけません。⑥は最新のウイルス対策ソフトを入れるなど情報が盗まれないようにします。
つまり社内で簡単なルールを決め、責任者を指名し、従業員に個人情報保護について説明します。個人情報の入ったパソコンや書類は鍵のかかる場所で保管して、不要になったら消去やシュレッダーにかけます。パソコンにはウイルス対策ソフトを入れておけば大丈夫でしょう。会社支給のスマートフォンには、自動ロックを設定しておくこと。リモートワイプ(遠隔消去)機能も利用できるようにして紛失に備えればベターでしょう。
情報の漏えいはあってはいけません。特に顧客情報は厳重に管理する必要があります。
──個人情報には従業員の情報も含まれますか。
改正法には「要配慮個人情報」という新しい概念が入りました。個人情報のうち、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などが含まれるものが「要配慮個人情報」で、その収集や取り扱いについて本人の同意が必要です。
この中で軽く扱いがちな情報は病歴ではないでしょうか。会社の助成により人間ドックや健康診断を受けた場合でも、その結果を会社が取得するなら、あらかじめ本人の同意が欠かせません。
採用活動時でも要配慮個人情報の取得には本人の同意が必要です。ただし本人が履歴書に要配慮情報を書いた場合や、面接時に質問されて答える分には同意があると見ることができます(ちなみに本籍や国籍は要配慮情報に入っていません)。
──個人情報保護法を順守しないとどうなりますか。
改正法の施行前は各省庁が監督業務を行います。施行後は個人情報保護委員会が指導・助言や報告徴収(個人情報取扱事業者に報告させること)、さらに立入検査を行います。また、基本的に立入検査を拒否することはできません。法令違反があれば勧告、命令を行い、それでも従わなければ刑罰(6カ月以下の懲役、30万円以下の罰金)が科せられるといったように強い強制力を持っています。
ここだけは押さえたい第三者提供の「落とし穴」に注意
1.第三者提供とは
企業が保有する個人情報(個人データ)を、自社以外の企業に渡す行為を指す。第三者提供を行う場合、原則として本人の同意が必要になるが、生命・身体に危険がある場合や法令に基づく場合は同意が不要。
これ以外のケースでも第三者提供に当たらないことがある。委託や事業承継、企業グループで共同利用するケースだ。委託とはデータ入力や住所ラベルの印字などを他社に頼むこと。事業承継は合併や分社によって事業とともに個人情報を新会社に引き継ぐ場合だ。共同利用とは一定の要件の下でグループ企業などが個人情報を共同で使うこと。
2.「オプトアウト」とは
第三者提供は、「オプトアウト」という制度を使ってもできる。オプトアウトとは事前に第三者への情報の提供などを通知したり、容易に知り得たりできる状況にしておき、本人が情報の削除を求めた場合に対応することにより本人の同意なく第三者に提供できるというもの。いわゆる「名簿屋」が悪用しており、現実には探すことすら難しい名簿屋に対して本人が削除を求めることが難しい状況になっていた。
そこで、改正後は個人情報保護委員会に届け出を行わなければオプトアウト制度を利用できなくした。また、第三者提供する場合は、情報の提供ルートを明確にするトレーサビリティーを確保しなければならなくなる。情報の買い主も、売り主の情報や取得の経緯などを確認し記録しなければならない。
3.外国にある自社の子会社に情報を移転する場合に本人の同意が必要になるのか。
外国にある他社はもちろん、自社の子会社であっても、海外にある第三者に個人データを提供する場合は、本人の同意が必要となる。
例外は、委員会規則で定める日本と同等の水準にある外国(現時点では国名が未公表)への提供と、委員会規則で定める基準に適合する体制を整備している者への提供である。簡単に言えば相手の企業が日本の個人情報保護法を守っているかどうかということだ。実務的には契約書に個人情報保護法を順守することを盛り込むことが重要だ。
4.転職時に自分で集めた名刺を持ち出すと第三者提供になるのか。
二重の意味で法律に違反する可能性がある。まず、転職前の会社の従業員として集めた個人情報を新しい会社で使うことは第三者提供に該当するため、原則として本人の同意が必要になる。同意を得なければ法律違反となる。もう一点は、不正競争防止法で営業秘密が保護されているため、企業が保有している顧客情報はもちろん、名刺の情報を利用すると法に抵触する可能性がある。
最新号を紙面で読める!