きょう施行「改正個人情報保護法」

中小企業にも義務が拡大

すべての事業者が対象


 個人情報の管理体制や第三者への提供ルールなどを規定した「個人情報保護法」が改正され、きょう5月30日に施行となった。改正法の特徴は、これまで個人情報「5千件超」を扱う事業者のみとしていた要件を撤廃し、1件でも顧客情報を預かる事業者はすべて対象となることだ。法で定められたさまざまな義務をあらゆる中小企業が負うことになるが、対応はおろか認知すらも十分に進んでいないのが現状だ。


 改正個人情報保護法の施行は5月30日。あらゆる中小事業者が対応を迫られることになるが、周知は遅々として進んでいない。

 

 東京・豊島区のある小売業者の総務担当者は取材に対して「まったく知りませんでした。何がこれまでと変わるんですか」と話したが、このような事業者はほかにも多いはずだ。

 

 個人情報保護法とは、事業者が顧客から集めた個人情報を扱うに当たって、管理規定や第三者への提供に際してのルールなどを定めたものだ。名前や年齢、住所や過去の購入履歴といったデータは、さまざまな業者にとっての〝宝の山〞となり、悪用の危険性もあるため、その取り扱いに対してはさまざまな義務が課せられる。

 

 これまで同法の対象となっていたのは、扱う個人情報が5千件を超える企業のみだったが、改正によって要件が撤廃され、1件からの適用となった。顧客の情報をまったく持っていないという企業はほとんどないため、実質的にはすべての中小企業が対象となるわけだ。

 

 同法が改正された背景には、2014年に通信教育大手のベネッセから3500万件超の顧客情報が漏えいした事件がある。従業員の持ち出した顧客データが名簿業者に売られていた同事件では、持ち出した本人に実刑判決が下され、ベネッセには被害者への補償などで200億円近い損害が生まれたが、データを転売した名簿業者や、実際に名簿を使って営業活動を行った企業などの責任は追及されなかった。自分の情報が知らぬところで売り買いされて商売の種にされることへの批判が高まったことで、今回の法改正に至った。

 

 またマイナンバー制度が昨年から始まっていることも無関係ではない。今回の法改正では一部が先行して施行され、情報管理のルール作りや民間事業者の監督を担う「個人情報保護委員会」が昨年1月に設置されている。同委員会はマイナンバーの適正な取り扱いを規定する業務も担っていることからも、マイナンバー制度の開始が個人情報保護法改正の大きな機運となったことは確かだろう。

 

管理規定も厳格化

 では法改正で何が変わったのか。まず個人情報の定義が改めて明確化されたことが挙げられる。改正前は単体では個人情報に該当していなかった、指紋や顔写真、パスポート番号、年金番号、免許証番号、保険証などが、今後は単独でも個人情報とみなされる。もちろんマイナンバーも例外ではない。

 

 また、この個人情報を取り扱う管理規定も厳格化されている。取得に当たっては、個人情報を何の目的で利用するのかを伝えなければならず、利用は伝えた目的の範囲内に限られる。別目的で利用したい時や、データを第三者に提供する際には、必ず別途同意を得ることが義務となった。

 

 さらに同意を得たとしても、第三者に名簿を提供する時や、自分が名簿業者からダイレクトメール用の名簿データを買う時には、提供先、提供元、提供経緯などを記録保存することが必須だ。これらの義務に違反し、国からの命令にも従わなかった時は、6カ月以下の懲役または30万円以下の罰金が科せられることになる。

 

 個々の社内での情報管理体制については、扱う情報が5千件以下で従業員100人以下の中小企業は、事業規模や扱う情報量によって柔軟な体制を整えることが認められている。個人情報保護委員会のガイドラインによれば、中小企業が取るべき具体的な対応として、個人情報取り扱いの責任者を明確にすることや、問題発生時の報告連絡体制を規定しておくことなどが挙げられるようだ。ただし大企業と中小企業とにかかわらず、取り扱いを間違えると法律違反になることに変わりはない。

 

「データベース等提供罪」新設

 一般財団法人日本情報経済社会推進協会が今年に入って行ったアンケートによると、中小企業が改正法に向けて行う対応として最も多かった回答は「従業員教育」で全体の8割を占めた(複数回答)。人員コストに限りがある中小企業では、体制面やシステム面で採れる対応はおのずと限られてくるため、「個人情報の取り扱いがどれだけ重要な問題か」という意識付けが大切ということのようだ。

 

 従業員教育を怠れば、会社が法的な責任を負う可能性も否定できない。改正法では個人情報の不正利用目的での盗用に対して「個人情報データベース等提供罪」が新設され、データを盗み出した従業員本人だけでなく所属する企業に対しても罰金を科すという両罰規定が設けられた。たとえ不心得者の社員にデータを盗まれた被害者であっても責任を負わされるということだ。もちろん罰金のみならず、顧客からの信頼の失墜という最大のダメージを受けないためにも、従業員教育は徹底すべきだろう。

 

 さまざまな面で厳格化された改正法だが、緩和された部分もある。膨大な顧客データ、いわゆる「ビッグデータ」を生かしたビジネスの可能性を摘まないよう、改正法では、特定個人と結び付けられる部分を削除した情報を「匿名加工情報」と規定し、個人情報として取り扱う必要がないことを定めている。

 

 自分が特定されない形であってもデータが収集されて流用されるのは気味の悪い話だが、ビジネスとして情報を取り扱う側からすれば、匿名化することで自由に顧客情報を扱え、法律違反のリスクを背負わずに済むことは覚えておいて損はないだろう。

(2017/05/30更新)