この記事の目次
2015年9月に、10年ぶりに改正された個人情報保護法ですが、ついに施行日(法的な効力が発生する日)が決定しました。改正個人情報保護法の施行日は、平成29年5月30日です!
この日から、改正個人情報保護法にあるルールを守らないといけません。では、この改正個人情報保護法ですが、どのようなルールになっているのでしょうか?
従来の個人情報保護法では、事業に活用する個人情報が5000人分以下の事業者は、個人情報保護法の義務を守る 必要はありませんでした。
しかし、今度の改正法では、この「5000人要件」が撤廃されます。つまり、中小企業・ベンチャー企業を問わず、全ての事業者が、個人情報保護法を守る必要があるのです。
よって、全ての事業者が、改正個人情報保護法の内容を理解することが必須になりました。
今回、個人情報保護委員会という組織が作られました。
これは、事業者に対して、個人情報保護法に基づいて、個人情報を扱っているかを監査する機関です。
参考サイト:個人情報保護委員会について
イメージでいうと、税務調査の個人情報保護版です。
個人情報保護委員会は、事業者に対して、立入検査を行い、必要な指導・助言や報告徴収を行い、法令違反があった場合には勧告・命令等を行うことがあるとされています。
もし、個人情報保護委員会から、個人情報保護法に則っていない企業という指導がされてしまったら、「個人情報管理がなっていない会社」というレッテルを張られてしまいます。
よって、全ての事業者は、個人情報保護法の内容を理解する必要があるのです。
では、個人情報保護法では、事業者どのような義務が生じているのでしょうか?
事業者は、個人情報を取り扱うに当たっては利用目的をできる限り特定する必要があります。
また、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないとされています。
多くの事業者は、プライバシーポリシーという形で、個人情報の取り扱いに関する規定を作成していると思いますが、そこに「利用目的」という項目があるはずです。(ない場合には、早急に作成してください)
その「利用目的」をきちんと特定する必要があるのです。
では、どの程度「特定」する必要があるのでしょうか?これは、普通の人が、「利用目的」を見た場合に、個人情報が何に使われるのか分かる程度に、具体的に記載する必要があります。
例えば、「利用目的」として「当社事業目的のため」「当社マーケティングのため」というのは、NGです。なぜなら、何に利用されるか、分からないからです。
「DM、メールマガジンを配信するため」、「問い合わせに対応するため」など、一見して何に使われるのかが分かるように、記載する必要があります。
個人情報を取得する場合には、予め利用目的を通知・公表しなければなりません。
多くの会社は行っていると思いますが、プライバシーポリシーなどは、ウェブサイト上や申込フォーム上に、掲載しておく必要があります。
事業者は、集めた個人情報を法律に則り、安全に管理する必要があります。
では、具体的に、どのように管理すればよいのでしょうか。これには、個人情報保護委員会から、ガイドラインが示されています。
参考資料:個人情報の保護に関する法律についてのガイドライン
ただ、この資料は約100ページにも及ぶ膨大な資料です。読みこなすのも大変だと思うので、次回以降、改めて解説します
また、事業者は個人データをクラウドサービスに預けてる、他の事業者に預けている場合には、その委託先も監督しなければならないとされています。
事業者は、あらかじめ本人の同意を得ずに第三者に個人データを提供してはならないとされています。
例外としては、(1)法令に基づく場合(2)オプトアウトなどの場合があります。オプトアウトの方法などについては、次回以降、解説していきます。
事業者は、本人からの求めがあれば、個人情報は開示しなければなりません。また、個人情報に誤りがあれば、本人からの求めに応じて、調査し、訂正しなければなりません。
さらに、個人情報を法の義務に違反して取り扱ってるときは、本人からの求めに応じて、利用停止等を行わなければなりません。
これから全事業者が守らなければならない個人情報保護法ですが、具体的な手順などは、規則やガイドラインなどで、詳細かつ具体的に定められています。
かなり、分厚い資料ですので、しっかり読み込んでおきましょう!
このブログでも、解説していきます。