さっしーです。
これまでは5,000件までの個人情報データベースであれば、個人情報保護法は不適用でしたが、平成29(2017)年5月30日改正法全面施行のため、1件から適用になりますので、ほとんどの中小企業や個人事業主の方等が適用対象になります。
ホームページや申込書等に、「お預かりした個人情報は~~~」と明示しなければいけない義務も。
非常に厳しい「個人情報保護委員会」による突然の立ち入り検査の可能性もありますよ。
法律は「知らなかった」では許されません。しっかり対応しましょう。
<1>個人情報とは
個人情報とは、生存する個人に関する情報であって、氏名、生年月日、その他の記述等により特定の個人を識別することが出来るものを言います。
今回の改正によって、現行法の個人情報に含まれると考えられるパーソナルデータについて、(1)身体の一部の特徴をデータ化した文字、番号、記号その他の符号(DNA、顔、声紋、指紋など)や、(2)サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号(旅券番号、基礎年金番号、免許証番号、マイナンバー、住民票コード、保険証など)のうち、政令で定めるものを「個人識別符号」とし、これが含まれるものを個人情報とすることで、時代の変化に合わせて、より保護対象が明確になりました。
個人情報保護法では、保護が必要な情報を「個人情報」「個人データ」「保有個人データ」の3つの概念にわけています。
個人情報;生存する特定の個人を識別できる情報
※要配慮個人情報;人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実・・・本人同意を得ない取得を原則禁止
個人データ;上記個人情報のうち、紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したものに含まれる個人情報
保有個人データ;上記個人データのうち、開示、訂正、消去等の権限を有し、かつ、6ヶ月を超えて保有するもの
<2>新たな個人情報取扱事業者」とは?
個人情報データベース等を事業の用に供している者。
これは、ほとんどの事業者が該当することとなります。
これは法人に限らず、営利非営利も問われないため、個人事業主やNPO、自治会等も該当します。
個人情報データベース;メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、リスト化された従業員や顧客台帳。他にも登録カードなども。
例外;報道機関が報道活動の用に供する目的、著述を業として行うものが著述の用に供する目的、学術研究機関等が学術研究の用に供する目的、宗教団体が宗教活動の用に供する目的、政治団体が政治活動の用に供する目的。
<3ー1>これだけはやっておこう!利用目的の特定・適正取得
●個人情報を取得する時には、あらかじめ利用目的をできる限り特定する
●利用目的の範囲内で扱う
●適正な方法で取得する
●利用目的の通知・公表(通知・公表とも、あらかじめ行うことがポイント)
<3-2>これだけはやっておこう!安全管理措置等
●安全管理措置の実施
・組織的安全管理措置;組織体制、規定等、取扱状況、安全管理措置評価及び改善、事故や違反への対処
・人的安全管理措置;非開示契約締結
・物理的安全管理措置;入退室管理、盗難等防止、危機装置の物理的保護
・技術的安全管理措置;アクセス識別・認証・制御・権限管理・記録、不正ソフト対策、暗号化など、監視、他
●データ内容の正確性の確保等
●委託先の監督
●従業者の監督
●苦情の処理
☆他にも消費者の信頼を構築するのにプライバシーポリシーの作成も大切!
<3-3>これだけはやっておこう!「第三者提供」をする時には
【重要】第三者に情報提供するには、あらかじめ本人から同意を得なくてはならない(第23条)
※適用除外
・法令に基づく場合
・人の生命、身体又は財産の保護に必要であり、かつ、本人の同意を得ることが困難である場合
・公衆衛生・児童の健全育成に特に必要な場合
・国の機関等への協力
※提供者が第三者に当たらない場合
・委託先
・事業の継承
・共同利用(事前通知事項あり)
●オプトアウト
あらかじめ下記事項を本人に通知、又は本人が容易に知りえる状態に置くとともに個人情報保護委員会への届け出が必要!
ーーー通知、容易に知り得る状態に置く、届け出事項ーーー
・第三者提供を利用目的にすることとその対象項目
・第三者への提供の方法
・求めに応じて第三者提供を停止すること及び本人の求めを受け付ける方法
※要配慮個人情報は、オプトアウトによって第三者提供をすることができません!
<3-4>これだけはやっておこう!「第三者提供に係る記録の作成等」
・第三者から個人データを受領する場合、受領者は提供者の氏名やデータの取得経緯等を確認、記録し、一定期間その内容を保存しなければなりません。
・第三者に個人データを提供する場合も、提供者は受領者の氏名等を記録し、一定期間保存しなければなりません。
※この規則によって、情報を追跡することができます
<3-5>これだけはやっておこう!「保有個人データ」
保有個人データの利用目的、開示等に必要な手続き、苦情の申出先等について本人の知り得る状態に置かなければなりません。
(本人の求めに応じて遅滞なく回答する場合を含む)
利用目的の通知、開示、訂正等、利用停止等、、、本人請求に答えなければならない
いままでは5,000件以上の個人情報がないと罰則対象になりませんでしたが、改正法施行後は1件の個人情報から罰則対象になります。
改正個人情報保護法を理解し、情報の取得から取扱・セキュリティーに十分な対策が必要です!
この記事の法律に関する記述は経済産業省発行のパンフレットを参考にしてまとめたものです。
詳細などにつきましては、消費者庁及び経済産業省にご確認ください。
