個人情報保護法が昨年改正され中小企業にも影響が出てくると聞きました。改正のポイントと今後実務面で注意すべきことについて教えてください。(システム開発)

 平成27年9月、個人情報保護法(平成15年5月公布、以下「法」)の改正法が成立し、公布されました。平成28年1月に一部施行され、法を一元的に所管・監督する「個人情報保護委員会」が新設されました。全面施行は、改正法の公布から2年以内の政令で定める日となっています。全面施行までに改正法や今後制定される政令・規則、委員会が作成するガイドラインを理解し、対応準備をしておく必要があります。

 改正法の内容は図表(『戦略経営者』2016年6月号P42参照)のとおり多岐にわたります。これまで、過去6カ月以内に5000人以下の個人情報しか取り扱っていなかった事業者は「個人情報取扱事業者」から除外され、法による義務が課されていませんでした。しかし、改正法ではこの除外制度がなくなり、取り扱う個人情報の量が少ない中小企業でも法による義務が全般的に課されることになります。そのためこの改正法は中小企業に大きく影響するものといえます。特に、これまで義務が課されていなかった中小企業は、改正内容だけではなく、法全体を一から理解し、個人情報の安全管理措置を整備する必要があります。

 改正法の大きな目的に、情報通信技術の発展により利活用可能となったパーソナルデータ(購買履歴や乗降履歴等の個人の行動・状態等に関する情報)を積極的に利活用するための環境整備が挙げられます。そのため、規制の対象となる「個人情報」の定義を見直し、線引きを明確化するとともに、特定の個人を識別できないように個人情報を加工した「匿名加工情報」という概念を新設し、その作成方法や第三者へ提供するための要件等を定め、適切な規律の下で、本人の同意なく、自由に利活用できるようになりました。また、病歴や犯罪歴など取り扱いに特に配慮を要する「要配慮個人情報」という概念を新設し、あらかじめ本人の同意を得ないで取得することが原則として禁止されました。自社で取り扱う個人情報等を洗い出し、改正法に則った対応を検討しておく必要があります。

 一方で、ベネッセコーポレーションで大量の顧客情報が漏えいする事件が発覚したこともあり、プライバシー保護や名簿業者への対策を求める声が高まったことから、オプトアウト(もともと法で許されている、あらかじめ本人の同意なく行う第三者提供の方法)により個人データを第三者に提供する場合には、事前に委員会に届け出し、これを委員会がホームページ等で公表することになり、本人が状況を把握しやすくなりました。また、転々と流通する個人情報の流通経路を確認するために、個人データを提供する側と提供を受ける側の両方に、一定の事項について確認や記録の作成・保存を行うことが義務化されました。

 その他、情報のグローバル化に対応するための改正もなされています。昨今の情報漏えいに対する社会の目は厳しく、一歩対応を間違えれば最悪倒産する事態にもなりかねません。改正法の理解を深め、コンプライアンスの順守を心がけましょう。

掲載:『戦略経営者』2016年6月号