個人情報保護法とは?
個人の権利・利益の保護と個人情報の有用性とのバランスを図る基本理念のほか、民間事業者の個人情報の取扱いについて規定しています。この度、H29年5月30日に大幅に改訂施行されることとなりました。今まで規制対象外であった中小事業主も適用対象となり各種義務を負うこととなりますので、早急な対応が迫られています。今後の商ビジネスにおいても、「うちには関係ない」と言っていられない状況です。この機会に貴社の個人情報の取り扱い実務を見直ししませんか?
個人情報取扱事業者の義務
個人情報保護法では、事業者に各ステップで様々な義務が課されれております。
1.取得
・ 利用目的の特定 ・ 利用目的による制限・ 適正な取得 ・ 取得に際しての利用目的の通知等
2.内容の正確性
・ データ内容の正確性の確保
3.情報管理
・ 安全管理措置 ・ 従業者の監督 ・ 委託先の監督
4.第三者提供
・ 第三者提供の制限
5.公表・開示等
・ 開示、内容の訂正、追加または削除、利用の停止、消去 および第三者への提供の停止等
改正のポイントはここだ!
今回の改正のポイントをまとめると以下のとおりとなります。
1.個人情報保護委員会の新設
個人情報取扱事業者に対する監督権限を各分野の主務大臣 から委員会に一元化
2.個人情報の定義の明確化
①利活用の際のグレーゾーン解消のため、個人情報の定義に身体的特徴等が対象となることを明確化
②要配慮個人情報(本人の人種、信条、病歴など本人に対する不当な差別又は偏見が生じる可能性のある個人情報)の取得については、原則として本人同意を得ることを義務化
3.個人情報の有用性を確保(利活用)するための整備
匿名加工情報(特定の個人を識別することができないように 個人情報を加工した情報)の利活用の規定を新設
4.いわゆる名簿屋対策
①個人データの第三者提供に係る確認記録作成等を義務化 ・提供を受ける側の義務
提供者の氏名・ 個人データの取得経緯を確認の内容の記録作成と一定期間の保存
・提供する側の義務
提供年月日・提供先の氏名等の記録作成と保存
②個人情報データベース等を不正な利益を図る目的で第三者に提供し、又は盗用する行為を「個人情報データベース提供罪」として処罰の対象とする
→1年以下の懲役または50万円以下の罰金
5.その他
①取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度を廃止
②オプトアウト規定を利用する場合は所要事項を委員会に届け出ることを義務化し、委員会はその内容 を公表
③外国にある第三者への個人データの提供の制限、個人情報 保護法の国外適用、個人情報保護委員会による外国執当局への情報提供に係る規定を新設
④認定個人情報保護団体の活用
⑤開示、訂正、利用停止等について裁判による救済請求の権利があることを明確化
迫られる情報の安全管理措置
〈基本方針の策定〉
個人情報等の適正な取扱いの確保について 組織として取組むため定める項目
・ 事業者の名称
・ 関連法令、ガイドラインの遵守
・ 安全管理措置等に関する事項
・ 質問及び苦情処理の窓口等
〈取扱規程の策定〉 ・・・就業規則ではありません!
事務の流れを整理し具体的な取扱のルールを作成
①取得 ②保管 ③利用 ④提供 ⑤削除・廃棄
それぞれの管理段階ごとに!
・ 取扱方法を決める
・ 責任者と事務取扱担当者を決め、具体的な業務も決める
情報の安全管理措置 4つの義務!
①組織的安全管理措置
・ 組織体制整備
担当者とその役割を明確化
・ 規程等の整備と規程等に従った運用の確認
システムへのアクセスログ・利用実績・持ち出し・廃棄や削除の記録等
・ 個人情報ファイルの取扱状況を確認する手段の整備
どのファイルを誰が何の目的で利用するか、アクセス権限者は誰かなど
・ 事故または違反への対処
二次被害防止、事実関係公表、委員会への報告
・ 取扱状況の把握及び安全管理措置の評価、見直し、改善
②人的安全管理措置
・ 従業者の監督、教育
個人情報の取扱いについて定期的に研修を行う、秘密保持を就業規則等に規定し雇用契約締結時に交わす
③物理的安全管理措置
・ 個人情報等を取り扱う区域の管理
入退室(館)の記録や立ち入りの制限、盗難防止
・ 機器及び電子媒体や書類等の盗難等の防止
保管場所に施錠する、機器はセキュリティワイヤー等で固定するなど
・ 電子媒体等を持ち出す場合の漏えい等の防止(事務所内の移動含む)
・ 個人情報の消去、機器及び電子媒体等の廃棄
復元できない手段で遅滞なく廃棄・削除
④技術的安全管理措置
・ アクセス制御、権限の管理
個人情報ファイルを扱うシステムを限定
・ アクセス者の識別と認証
ユーザーIDとパスワード、ICカードの活用
・ 外部からの不正アクセス等の防止、情報システムの脆弱性攻撃への対策
ファイアーウォール設置、セキュリティ対策ソフト導入、定期的なログ分析、標準装備の自動更新機能の活用で常に最新状態にしておくことは必須
情報漏えい対策のための教育研研修が必須となります!
~研修は定期的・継続的におこなうことが必須~
情報漏えい対策は、社員の一人ひとりの意識改革からはじまります。
●コンピュータやソフトウェア使用時の徹底事項
▶ ウィルス対策ソフトの導入、 OS・ソフトウエアは最新の状態に
●有害サイトの閲覧厳禁等の基本的事項の確認
●サイバー攻撃への注意喚起
▶ 怪しいメールは開封しない
▶ 疑わしいメールのURLはクリックしない
▶ 不審な添付ファイルは開かない
●社内ルールの徹底
▶ USBメモリや携帯電話・スマートフォン、SNSの利用
▶ PCのパスワードの設定や変更の期限
▶ 重要書類の保管や、情報の保管のルール
改正「個人情報保護法」全面施行!
今こそ、社内規程を充実化させ、強い情報管理体制を構築しませんか?