個人情報保護法とは、個人情報を取り扱う民間事業者の遵守すべき義務等を定めている法律です。おおよそ20年前に成立したのですが、2017年、2020年に改正されました。個人情報保護法を理解する為には前提として、「そもそも個人情報とは何であるのか?」を理解する必要があります。
そもそも個人情報とは何でしょうか?
個人情報保護法において、個人情報とは下記になります。(個人情報保護法より要約)
生存する個人に関する情報である事
その当該情報に含まれる氏名、生年月日その他の記述等によって特定の個人を識別出来るもの(他の情報と容易に照合出来、照合の結果で、特定の個人を識別出来る事となるものを含む)
または個人識別符号が含まれるもの となっています。
もっと具体的に申し上げますと、下記を満たすものが個人情報となります。
〇生存中の個人に関する情報
〇特定の個人を識別できる情報または個人識別符号が含まれる情報
個人識別符号とは、身体の情報をコンピューター処理のために変換した情報です。
例を挙げますと、以下のような情報が個人情報として保護される対象になります。
氏名・住所・電話番号・DNAの配列・声紋・手・指の静脈の形状・指紋・掌紋
パスポートの番号・免許証の番号・個人番号(マイナンバー)
生存する個人に関する情報を対象としていますので、亡くなっている人の情報は、
個人情報保護法に対象にはなりません。
人々が生活をして行く上で、様々な情報で溢れ返っています。その氾濫している情報の中でも、無論、個人情報保護法が対象としていますのは個人情報で、個人情報でない情報は適用されませせん。
2020年の個人情報保護法改正で何が変わるのでしょうか?
大きく分けて6つあります。
(1)個人情報の開示請求などの対象が拡大されます
今までは、事業者による法律違反を証明した上で、削除等の請求がなされていました。しかし、請求可能範囲について、法律違反の証明だけでなく個人の利益等が害される場合でも請求対象になりました。開示方法も書面が原則でしたが、データでの提供でも可能になりました。
つまり、個人の権利を尊重した事に繋がっていると思います。
(2)事業者による報告の義務化になります
あってはならない事ですが、万一情報漏洩が発生したら、報告をするのは努力義務でしたが、改正後は義務化されました。そして、報告には2つの形式があり「速報」と「確報」になります。前者は事故が発生してから3日から5日以内、後者は60日以内となっています。報告が義務化されていますので、違反すると行政処分の対象となってしまいます。
企業の対応とスピードがますます求められる事になります。
(3)事業者による自主的な取組を促す仕組みの在り方
個人情報の保護が推進される為に、前向きに行動する為に「認定個人情報保護団体」の認定対象が拡大しました。企業の個人情報の扱いに不備があっても解決に至らない場合の、機関であり、解決を図る事も役割の1つになります。
(4)仮名加工情報が新設されました
今までは、個人情報を特定出来ないように加工し、復元出来ないように「匿名加工情報」として、利用目的とは異なっても利活用出来ました。「仮名加工情報」を利用する事で、ある程度融通が利くようになりました。会社内での利活用等の条件を満たす必要はありますが、条件を満たせば、個人からの開示や停止といった請求への対応を必要とせずに分析に活用できるようになりましたし、仮名加工情報に同意を得る必要はありません。
(5)罰則の強化
違反した内容にもよりますが、改正後、個人には「1年以下の懲役または100万円以下の罰金」の刑事罰が課せられます。また、法人には「1億円以下の罰金」の刑事罰が科されます。
改正前、懲役刑は6か月以下、罰金刑は個人法人共に30万円以下でしたが、昨今の厳罰化の流れに伴って厳罰化へとなりました。
(6)法の域外適用・越境移転
改正前は、日本国内の個人情報を取り扱う外国企業が漏洩を発生させたとしても、関係機関よりほとんど力のない指導や助言に留まっていましたが、改正後はほぼ報告徴収・命令の対象範囲が日本国内へサービスを提供する外国の企業も含まれるようになりました。
すべての企業が義務化された個人情報保護とは?
改正前は取り扱う個人情報の数が5000人分以下の事業者は個人情報保護法の対象外でしたが、改正後は1人でも雇っていれば法律の義務を負います。また営利目的非営利目的であってもNPO法人等の団体でも対象となります。
違反するとどうなるのでしょうか?
2.(5)で申し上げましたが、罰則が強化されましたので、重い刑事罰に処されてしまいます。ここで想定される事柄を考えてみます。ある企業の従業員が、個人情報を腹いせに漏洩したとします。そうしますと、会社内の個人がやったにせよ、世間や顧客は会社がやったとみなします。そうなると、会社の信用度や信用は失墜します。ネットで嫌と言うほど叩かれて、電話や手紙での嫌がらせが起きる事さえ、業務に支障が発生してしまう位あります。仮にテレビで報道されなくても、悪いニュースであればあるほど、色を付けてSNSを通して拡散して行きます。今まで付き合いのあった得意先が離れていき、売り上げの低下に拍車がかかる事になります。最終的に従業員のやる気低下に繋がり、会社の存続が危ぶまれてしまう事さえあります。上記はあくまでも仮説なのですがたった一人の行いでこのようになってしまう事も十分にあり得ます。
個人情報を漏洩させない為にはどうすれば良いか?
(1)経営陣が陣頭指揮を執り、リスクを共有する事です
いくら末端の従業員が大きく騒いでも、企業の経営陣が決断して動かない事には何も意味がありません。経営陣が情報の重みを誰よりも認識して、流出や漏洩が発生すれば、企業存続が危ぶまれてしまう事もあり得ると認識する必要があります。
(2)マニュアル等の整備をして下さい
社内での個人情報の取り扱いを整備する事が必要です。何から始めれば良いのか、分からなければ、外部の力を借りる事も検討して下さい。
(3)リスクを全従業員に落とし込んで下さい
経営陣が気持ちを込めて、全従業員に個人情報の漏洩や流出について共有して下さい。
個人情報に関する教育の徹底を行って下さい。
(4)対策チームの構築を行って下さい
あってはならないのですが、発生してしまう事も検討して、重大なインシデントの対策チームを構築する事も必要です。トップを誰にして、指示命令を誰にして誰が動くのか?また関係機関への報告などを含めて体制を構築する事も必須です。
参照記事
個人情報保護法違反とは|弁護士が解説
個人情報保護法「改正ポイント6点」、国際比較でわかりやすく罰則強化などを解説する |ビジネス+IT