今日から12月ですね!
朝から冷たい雨でしたが、温かくしてお過ごし下さいね。
冷えは万病の元ですから。。。
2017年もあと1ヶ月となりました。
何となくバタバタとしてしまう12月ではありますが、あくまでも「1月/12ヶ月」ですから心穏やかに、そしてこの1年にお世話になった方々への感謝の気持ちを込めて、「良い仕事をして締め括りたい」と思っております。
2015年に大幅な改正があり、多くに方々が大慌てになったのも記憶に新しいところではありますが、実は「2017年5月30日」に全面施行となっております。
メディアでも、ほとんど報じることがなかったように思いますが、大変重要であり、罰則等厳しい指導のある個人情報保護法となりますので、改めて皆様とシェアをしていきたいと思います。
まず、個人情報保護法が全面施行されてから10年が経過しましたが、インターネット環境の発展や、企業活動のグローバル化、ビッグデータやIoT技術の発達に伴い、取り巻く環境は大きく変貌を遂げています。
2015年の大改正に伴い注意しておかなければならない点は多くありまして、「顔画像や音声データも個人情報になるうる」ということです。
また、個人情報を事業において取り扱う民間事業者が個人情報保護法の義務主体となる点も大きいと考えます。
つまり、
「個人情報の取り扱いに関する責務を民間事業者が負う」
ということです。
数社の企業様には、2015年の大改正時にセミナーや勉強会を開催させて頂きましたが、この問題の実際の影響の大きさや範囲がわかりにくく、どこまで対応して良いのか・・・という疑問と不安を持たれて事業所も多かったように記憶しております。
保護の対象となる「個人情報」とは、「生存する個人に関する情報」であることが必要で、亡くなった方や法人に関する情報は除外されます。
「生存する個人に関する情報」と言いましても、その範囲は膨大でして、①氏名等により特定の個人を識別することができるもの、または②個人識別符号が含まれているもの、のいずれかに該当すれば個人情報になります。
①については、会社等で管理している従業員データ(氏名・生年月日・社員ID・連絡先・経歴・賞罰等)、顧客データ(氏名・生年月日・会員ID・連絡先・購買履歴等)も個人情報になります。
顔画像や音声データも個人情報になりうる場合もあり、その情報だけでなく、他の情報と容易に照合できるものも個人情報に含まれます。
②については、法令が「個人識別符号」として顔認識データや運転免許証番号など数十にわたると明記されており、その符号を含む情報が個人情報となります。
管理をする企業等は、「利用」「提供」「管理」「開示等」の各段階で注意すべき義務があり、厳重な管理体制が求められます。
まず、「利用」については、プライバシーポリシーを設け、「利用目的」の特定し通知する必要があります。
「管理」については、主に「保管」の安全性が問われます。
インターネット等の環境にないPC等にデータを管理する。
特定の管理者以外が利用できない環境を作る。
などなど。
中小事業所にとって、キャパの問題も含めて大変な大きな管理責務を負うことになります。
「提供」については、第三者に提供する際に、「原則として本人の同意が必要」となります。
第三者とは、グループ会社や親子兄弟会社等も「別会社」として定義され、第三者として取り扱う必要があります。
「開示等」については、本人からの開示請求があった場合、回答をする義務を負います。
大きな問題として、「違反者には6ヶ月以下の懲役または30万円以下の罰金」が設けられているということです。
2017年5月30日から、全面施行されたことにより「個人情報保護委員会」なる法の番人が設置されました。
これまでは、各省庁がバラバラに所管する業界を監督し、個人情報取り扱いに違反がないかをチェックしてきましたが、今回、そうした監督行政が独立した機関として一元化されました。
通常は、相談窓口での対応や、助言・指導がメインになりますが、いざ悪質な違反や不正を察知した場合には、立入検査(調査)を行なって報告を求めるなど、現実的な指導も行われることになります。
もし、違反が判明した場合には、「勧告」→「命令」→「処罰」といったスキームにて指導が入ります。
「処罰」が先述した罰則に当たります。
もっとも、悪意を持って個人情報取り扱いに違反する事業所は少ないかとは思いますが、どのような状況で「漏洩」や「疎漏」が起きるかは予見することは難しいかと思います。
事前に管理体制等を改めて整備する必要もあるのではないでしょうか?
最近では、大小関わらず、「個人情報漏洩保険」の問い合わせや、加入される事業所が増えて参りました。
マイナンバーを含む、従業員・パートの個人情報も含めて賠償リスク・費用賠償リスクを補償する損害保険になります。
また、不正アクセス等に対応する「サイバーリスク保険」もございます。
「備えあれば憂いなし」
と言いますが、こうした事柄まで配慮して事業活動をしていかなくてはならない時代となったことを痛感し、安全に事業活動を進めていく一助となればと考えております。