<1 個人情報保護法が適用される事業者>について
個人情報保護法は、個人情報に関連しさまざまな義務を課しています。この義務を負うのは「個人情報取扱事業者」です。
「個人情報取扱事業者」※とは、「@個人情報データベース等をA事業の用に供している者」をいいます。つまり、顧客名簿や取引先名簿などを事業に用いている者です。非営利事業も含まれます。
これには除外例があり、「識別される特定の個人の数」の合計が過去6ヶ月以内のいずれの日においても5000人を超えない者は除外されます。
※「個人情報取扱事業者」に該当しない小規模事業者の場合
同法第4章で定められている義務は課されません。しかし、同法3条の基本理念は適用されますし、民法や刑法等で責任追及される可能性はあります。また、企業の中には、仕事の下請や業務委託先に対して、個人情報の安全管理を取引の条件とするところも多く、事業者としての信頼を確保するためには、個人情報の漏えいなどが問題となる前に十分な対策をとっておくことが必要です。
<2 個人情報の概念>について
個人情報保護法は個人情報について3つの概念を定めています。どの概念に該当するかによって、「個人情報取扱事業者」に課される義務の内容が異なってきます。混乱しやすいところです。
(1)「個人情報」
最も広い概念です。「@生存する個人に関する情報であって、A特定の個人を識別できるもの」をいいます。まだデータベース化されていない生の情報です。メールアドレスはアドレスのドメイン名などから特定の個人を識別できる場合は個人情報となります。法人等の団体に関する情報は含まれません。
(2)個人データ
「個人情報データベース等を構成する個人情報」をいいます。これはデータベース化された個人情報です。たとえば名刺を50音順に整理しファイル化すると、その名刺の情報は個人データとなります。
(3)「保有個人データ」
最も狭い概念です。個人データのうち、個人情報取扱事業者が開示、内容の訂正、追加などを行う権限を有するものをいいます。例えば、上記のファイル化された名刺について、内容の訂正等を行うことができる場合は、この名刺の情報は保有個人データとなります。
<3 個人情報保護法で課せられる義務>について
(1)個人情報を取得する場合
@偽りその他不正の手段により個人情報を取得してはならない(17条)。
A個人情報を取得した場合、速やかに、利用目的を本人に対し通知又は公表しなければならない(18条1項)。例えば、自社のホームページ上に利用目的を掲載することも公表にあたります。本人から直接書面で個人情報を取得する場合(申込書、アンケートなど、ウェブ上での取得も含まれる)、あらかじめ利用目的を明示しなければならない(18条2項)。
B個人情報を取り扱うにあたり、利用目的はできる限り特定しなければならない(15条1項)。
(2)個人情報を利用・管理する場合
@本人の同意を得ないで利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(16条)。
A個人データの内容は正確かつ最新の内容に保つように努めなければならない(19条)。
B個人データの安全管理のために必要かつ適切な措置を講じ(20条)、従業者に対する必要かつ適切な監督を行わなければならない(21条)。
簡単にできる対策としては、例えばパソコンをIDやパスワードで管理、個人情報が記録された書類やUSBメモリなどは鍵のかかる場所に保管、不要な情報はシュレッダーにかけたり完全に廃棄するなどです。従業員に対しては就業規則に秘密保持規定を設けたり、誓約書を要求する方法もあります。プライバシーポリシー(事業者の個人情報保護に関する考え方を宣言したもの)を作成するのもよいでしょう。
C保有個人データに関しては、利用目的などを本人の知り得る状態におき(24条)、本人の求めに応じて開示、訂正、利用停止等をしなければならない(25〜27条)。
D個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない(31条)。
(3)個人情報の取扱を委託、第三者に提供する場合
@個人データの取扱の全部又は一部を委託する場合は、個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない(22条)。あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない(23条)。
(4)同法で定められた義務に違反した場合には制裁が科されることもあります。例えば、主務大臣から勧告を受け、勧告に応じない場合には命令が下され、その命令に違反した場合には6ヶ月以下の懲役又は30万円以下の罰金に処せられうるなどです。
|
ページトップに戻る