中小企業経営者のための個人情報保護法ガイド|個人情報保護法の基本概要

中小企業経営者のための個人情報保護法ガイド

 

個人情報保護法は、お客様や従業員情報等の個人情報を保有する全ての会社にかかわる法律である。

 

個人情報の漏えい事故等で被害が発生したときは、被害者(顧客或いは社員)から民事上の損害賠償責任を追求される可能性があるので、経営者がしっかり理解すべき法律になる。

 

この記事では、中小企業経営者が知っておきたい個人情報保護法の概要と概略について、詳しく解説する。

 

 

個人情報保護法とは?

 

個人情報の保護に関する法律(以下「個人情報保護法」という)は、情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向等を受けて、平成15年5月に公布され、平成17年4月に全面施行された。

 

その後、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化により、個人情報保護法が制定された当初は想定されなかったようなパーソナルデータの利活用が可能となったことを踏まえ、「定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」等を目的として、平成27年9月9日改正個人情報保護法が公布された(全面施行は公布から2年以内)。

 

改正に伴い、平成28年1月1日より、個人情報保護法の所管が、消費者庁から個人情報保護委員会に移った。

 

また、改正個人情報保護法の全面施行時には、現在、各主務大臣が保有している個人情報保護法に関する勧告・命令等の権限が個人情報保護委員会に一元化される。

 

 

個人情報保護法の概要と概略

 

中小企業経営者が知っておきたい個人情報保護法の概要と概略は以下の通りである。

 

「個人情報取扱事業者」(法第2条第3項)

この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

 

①国の機関、②地方公共団体、③独立行政法人等、④地方独立行政法人、⑤その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者。

 

(政令第2条)法第2条第3項第5号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5,000を超えない者とする。

 

但し、個人情報保護法改正法の全面施行日(改正法公布日、平成27年9月9日から2年以内の範囲で政令で定める日)以降は、適用除外規定(政令によって5,000以下の個人情報を取り扱う事業者について法の適用を除外)が廃止されることになるため、現在、個人情報取扱事業者に該当しない中小企業であっても、個人情報データベース等を事業の用に供している場合には、個人情報保護法の適用対象となる。

 

「個人情報」(法第2条第1項)

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

 

個人情報に該当する事例

事例1)本人の氏名

事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報

事例3)防犯カメラに記録された情報等本人が判別できる映像情報

事例4)特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)

事例5)特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報

事例6)雇用管理情報(事業者が労働者等(個人情報取扱事業者に使用されている労働者、個人情報取扱事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において個人情報取扱事業者に使用されていた者。以下同じ。)の雇用管理のために収集、保管、利用等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等の機微に触れる情報(以下「機微に触れる情報」という。)を含む労働者個人に関するすべての情報が該当する。以下同じ。)

事例7)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。)

事例8)官報、電話帳、職員録等で公にされている情報(本人の氏名等)

 

個人情報に該当しない事例

事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情報)

事例2)記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)

事例3)特定の個人を識別することができない統計情報

 

特定の個人の数に算入しない事例

事例1)電話会社から提供された電話帳及び市販の電話帳 CD-ROM 等に掲載されている氏名及び電話番号

事例2)市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ(ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には算入しないものとする。)

事例3)氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報

 

事業の用に供しないため特定の個人の数に算入しない事例

事例1)倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報(ただし、委託元の指示等によって個人情報を含む情報と認識できる場合は算入する。)

 

「個人情報データベース等」(法第2条第2項)

この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。

 

1.特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの。

 

2.前号に掲げるもののほか、特定の個人情報を容易に検索することができるように 体系的に構成したものとして政令で定めるもの。

 

個人情報データベース等に該当する事例

事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)

事例2)ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル(ユーザーID を個人情報と関連付けて管理している場合)

事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業者等によっても検索できる状態にしている場合

事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

事例5)氏名、住所、企業別に分類整理されている市販の人名録

 

個人情報データベース等に該当しない事例

事例1)従業者が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合

事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合

 

「個人データ」(法第2条第4項)

この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

 

個人データに該当する事例

事例1)個人情報データベース等から他の媒体に格納したバックアップ用の個人情報

事例2)コンピュータ処理による個人情報データベース等から出力された帳票等に印字された個人情報

 

個人データに該当しない事例

事例1)個人情報データベース等を構成する前の入力帳票に記載されている個人情報

 

「本人に通知」(法第18条第1項)

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

 

本人への通知に該当する事例

事例1)面談においては、口頭又はちらし等の文書を渡すこと。

事例2)電話においては、口頭又は自動応答装置等で知らせること。

事例3)隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。

事例4)電話勧誘販売において、勧誘の電話において口頭の方法によること。

事例5)電子商取引において、取引の確認を行うための自動応答の電子メールに記載して送信すること。

 

「公表」(法第18条第1項)

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

公表に該当する事例

事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載、自社の店舗・事務所内におけるポスター等の掲示、パンフレット等の備置き・配布等

事例2)店舗販売においては、店舗の見やすい場所への掲示によること。

事例3)通信販売においては、通信販売用のパンフレット等への記載によること。

 

具体的に利用目的を特定している事例

事例1)「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」

事例2)「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります。」

事例3)例えば、情報処理サービスを行っている事業者の場合であれば、「給与計算処理サービス、あて名印刷サービス、伝票の印刷・発送サービス等の情報処理サービスを業として行うために、委託された個人情報を取り扱います。」

 

具体的に利用目的を特定していない事例

事例1)「事業活動に用いるため」

事例2)「提供するサービスの向上のため」

事例3)「マーケティング活動に用いるため」

 

「従業者の監督」(法第21条関連)

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

 

「委託先の監督」(法第22条関連)

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 

ガイドラインの見直し

個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩等に応じて変わり得るものであり、本ガイドラインは、法の施行後の状況等諸環境の変化を踏まえて毎年見直しを行うよう努めるものとする。

 

 

 

上記個人情報保護法の概要については、中小企業の管轄省庁である経済産業省のガイドライン(平成26年12月12日最終見直し)を参照している。ガイドラインは適宜最新内容に更新されるので、随時確認することをお薦めする。

 

 

個人情報保護法Q&A

 

最後に、中小企業に関わる主な個人情報保護法に関する質疑応答集を紹介する。

 

Q:防犯カメラやビデオカメラなどで記録された映像情報は、本人が判別できる映像であれば、「個人情報データベース等」に該当しますか?

 

A:本人が判別できる映像情報であれば、「個人情報」に該当しますが、特定の個人情報を容易に検索することができるように整理していない限り、「個人情報データベース等」には該当しません。すなわち、記録した日時による検索は可能であっても、氏名等の個人情報では容易に検索できない場合には、「個人情報データベース等」には該当しません。(2007.3.30)

 

Q:店内等に防犯カメラを設置する場合、どのような点に注意が必要ですか?

 

A:防犯カメラの撮影により得られる容姿の映像により、特定の個人を識別することが可能な場合には、原則として個人情報の利用目的を本人に通知又は公表しなければなりません。もっとも、「取得の状況からみて利用目的が明らかであると認められる場合」には、その利用目的を公表等する必要がないとされており(法第18条第4項第4号)、一般に、防犯目的のためにビデオカメラを設置し撮影する場合は、「取得の状況からみて利用目的が明らか」であると認められるものと解されます。しかし、防犯以外の目的で利用する場合には、「取得の状況からみて利用目的が明らか」とは認められない可能性が高いため、当該利用目的を公表等する必要があります。(2005.7.28)

 

Q:個人情報取扱事業者に該当しない場合は、何の責任もないのですか?

 

A:個人情報取扱事業者に該当しない場合は、法に基づく行政処分が科せられることはありません。ただし、漏えい事故等で被害が発生したときには、被害者から民事上の損害賠償責任を追求される可能性はあります。(2004.10.19/2005.7.28最終修正)

 

(この記事は2016年6月に執筆掲載しました)