【個人情報保護法】が2017年5月30日に改正施行。その内容は?全ての事業者が対象となりえます。

 

 

個人情報保護法の改正法が2017年5月30日に施行されました。

ますます厳重な管理を求められる個人情報ですが、まだあまり改正内容を知らない方が多いんじゃないでしょうか?

うちはそんなに(多くの)個人情報を扱うわけじゃないしと思っていた方・・・今回の改正によりもはや他人事ではなくなりました。

 

 

改正個人情報保護法の内容

 

個人情報の管理体制や第三者への提供ルールなどを規定した法律が個人情報保護法ですね。

個人情報保護委員会

個人情報を漏えいすると懲役や罰金刑に処されることもあります。

 

最近の巨大な漏えい問題としては3500万件を超える顧客情報が漏えいした2014年のベネッセが思い出されます。

従業員が顧客データを持ち出しして名簿業者に売っていた事件ですよね。

結局その従業員には実刑判決が下され、ベネッセには被害者への補償で200億円近い損害が生まれたと言われています。

一方でデータを転売した業者や名簿を使って営業活動した企業などの責任までは追求されなかったことに対する批判が高まったことが今回の改正に至る要因の一つとなりました。

それではその改正のうち特に注意しなければならない内容についてみていきましょう。

 

個人情報を1件でも扱えば対象に!?

 

まず大前提にあったこと、改正前の個人情報保護法の対象となっていたのは扱う個人情報が5000件を超える事業者だけでした。

改正後はこの要件が撤廃され、1件でも個人情報を扱った時点で対象となってしまいます。

個人情報を全く扱わない事業は考えられませんから実質的に全ての事業者(私も)が対象となると言えます。

こうなるともう他人事ではありませんね。

個人情報を得るとき、扱っているとき、第三者に提供するときの管理体制を今一度見直す必要があります。

 

個人情報の定義が拡大

 

これまで単体では個人情報に該当しなかった免許証番号、保険証、年金番号、パスポート番号、顔写真などが今後はそれ単独で個人情報とみなされることとなりました。

 

従業員の持ち出しで会社にも罰則

 

先ほどのベネッセじゃないですが、従業員が個人情報満載の顧客データを盗み出してしまった場合、会社としては損害を与えられた側と考えてもおかしくないんじゃないでしょうか?

従業員の横領事件なんかも一概に会社も悪いとは言えない、会社も被害者のように感じることもあります。

ですが法改正により、従業員だけでなく盗まれた側の会社に対しても罰金を課すといういわゆる両罰規定が設けられました。

 

 

【対策】事業主としてやるべきこと

 

次の3つの時点においてやるべきことがあります。

 

個人情報を取得するとき

個人情報を何の目的で取得するのかを相手に伝える。

情報の利用は伝えた目的の範囲内に限られます。

 

個人情報を取得してから(情報管理)

社内の管理体制を作る。

誰がその情報を触ることができるのか(閲覧制限)

どんなものを使って情報管理するのか(私は専用のソフトを導入しています)

社内上の罰則規定

少なくとも手間という人的コスト、ソフト導入や専門家のアドバイスを受けるなら金銭的なコストがかかります。

 

個人情報を第三者に提供するとき

得た個人情報を第三者に提供するときは、別途同意を得ることが義務付けられています。

 

 

実質的に変化なし?

 

今回の改正法では、扱う個人情報が5000件以下かつ従業員100人以下の中小事業者については、必ずしもガチガチに管理体制を整えなさいとは言っていないように解釈できます。

中小事業者はその事業規模や扱う個人情報量が大企業に比べると少ないことから、取り扱いについて柔軟に体制を整えることが求められています。

(全般) Q7-5 「中小規模事業者」も、大企業と同等の安全管理措置を講じなくてはいけま せんか。 A7-5 法第 20 条により、個人情報取扱事業者は、取り扱う個人データの安全管理のために必要か つ適切な措置を講じなければなりません。 ただし、安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合 に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り 扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じ て、必要かつ適切な内容とすべきものであるため、中小規模事業者において、必ずしも大企業と同等 の安全管理措置を講じなければならないわけではありません。ガイドライン(通則編)「8(別添)講 ずべき安全管理措置の内容」に記載した「中小規模事業者における手法の例示」等を参考に、具体的 な措置の内容を検討してください。

個人情報保護委員会 中小企業サポートページ 「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」 に関するQ&Aより

昨年2016年のマイナンバーの対応時と同様にできる範囲で情報管理体制を作ることが当面やるべきことだと言えますね。

《ご参考》

個人情報保護法の5つの基本チェックリスト

 

 

 

◆この記事は執筆時点の想いをもとに書いています。
また、税制も執筆時点のものになっており、記事によってはその後の法改正が反映されていない可能性がありますのでご注意ください。

◆個別・単発の税務相談を承っております。自分の状況に合わせて相談したい!という方はこちらへ↓
個別・スポット相談

足立区北千住の『佐藤崇税理士事務所』
小さな会社様(従業員数5名以下)、フリーランス・個人事業主様に特化して税務サービスを提供しています。

■ 佐藤崇のプロフィール
■ 個別・スポット相談
■ 顧問契約_法人・会社
■ 顧問契約_フリーランス・個人事業主
■ 執筆・取材・出演のご依頼
■ 税理士受験生と税法大学院について語り合う会
■ はじめての会社_入門記事まとめ

Follow me!