情報化社会の現代において、個人情報の重要性はますます高まっています。このような環境で企業経営を行う限り、個人情報と関わらずにいることは困難です。消費者の個人情報に対する意識も年々高まっており、個人情報の取り扱いを誤ると企業の存続リスクにつながりかねません。
今回は個人情報保護法をテーマに、企業での個人情報保護の必要性を解説します。
個人情報保護と個人情報保護法
2005年施行の「個人情報の保護に関する法律(個人情報保護法)」により、個人情報を取り扱う事業者(個人情報取扱事業者)には、個人情報の取扱いに関してさまざまな義務が課せられています。
個人情報取扱事業者とは、紙媒体や電子データといった形式を問わず、個人情報をデータベース化し、利用している事業者のことです。
制定当初は、取り扱う個人情報の数が5,000人分以下の小規模事業者には個人情報保護法の適用を除外する旨の規定がありましたが、2015年の法改正により除外規定は廃止されています。個人情報保護法の対象には従業員の情報も含まれるため、現在ではほぼ全ての事業者が個人情報保護法の適用対象となっており、中小企業や大企業、個人事業主も平等に個人情報保護に必要な措置を取ることが義務付けられているのです。
また、個人情報保護に関する監督権限は、個人情報保護委員会へ一元化されています。同委員会は事業者に対して必要に応じ報告を求めることや立入検査を行うことができるほか、実態によっては、指導・助言、勧告・命令などを行う権限を有しています。
個人情報の定義
個人情報保護法では、個人情報のことを「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。」と定義しています。
つまり、生存する個人の情報のうち、特定の個人を識別可能なものが個人情報なのです。個人情報保護委員会が公表している「個人情報保護法ハンドブック」では、「氏名」や「生年月日と氏名の組み合わせ」、「顔写真」なども個人情報に当たるとされています。
企業内にある個人情報
それでは企業内にはどのような個人情報が存在しているでしょうか。
自社の社員に関する氏名や住所などの情報はもちろんですが、社員のマイナンバーや健康診断結果、取引先担当者の名刺や連絡先、顧客情報なども個人情報です。
特にマイナンバーは「個人識別符号」と呼ばれる個人情報に該当します。個人識別符号とは、その情報単体でも個人情報に該当するとされるものです。具体的には、顔認証データや指紋・掌紋、歩行の態様など、身体の一部の特徴を電子計算機のために変換した符号、もしくはパスポート番号や基礎年金番号、免許証番号など、サービス利用や書類において対象者ごとに割り振られる公的な番号が該当するとされており、政令・条例で個別に指定されています。
また、個人情報の中には、「要配慮個人情報」と定められ、他の個人情報よりもさらに取り扱いに配慮が必要とされる情報があります。企業内にある情報の中では、健康診断結果等が該当します。そのほか要配慮個人情報に当たる情報は政令で定められており、人種や身上、社会的身分、病歴や前科、障害の有無、犯罪被害の状況など、不当な差別や偏見につながり得るものです。要配慮個人情報は、本人の同意なしに取得することは禁止されています。
企業に求められる個人情報保護のポイント
個人情報の取扱いには基本となる4つのルールがあります。
①個人情報取得時・利用時
・利用目的をできる限り特定し、その範囲内で利用すること
・利用目的を通知または公表すること
②個人情報保管時
・情報漏えい等を防ぐため、安全に管理すること
・社員や委託先の安全管理も徹底すること
③個人情報提供時
・取得した個人情報を第三者に提供するときは、あらかじめ本人の同意を得ること
・第三者に情報を提供したり、提供されたりした場合、一定事項を記録すること
④個人情報開示時
・本人からの開示等の請求に対応すること
・苦情等に適切・迅速に対応すること
個人情報保護委員会は「個人情報保護法ガイドライン」を公表し、これらの基本ルールに基づいて、事業者が講じるべき措置や対応例を示しています。2020年法改正により、当該ガイドラインも更新されていますので、参考にしてください。
個人情報と企業責任〜万が一個人情報が漏えいしたら…
個人情報に該当する範囲からもわかるように、個人情報を取り扱わない企業はほぼありません。多くの企業では事業活動においてもマーケティングなどで個人情報を利用しているでしょう。個人情報の保護に取り組むことは、法律に定められているからというものではなく、企業の社会的責任といえます。
企業で個人情報の漏えいにつながるような事故が起こった場合や、個人情報の不適正な利用が行われた場合にはどうなるのでしょうか。個人情報保護法には、事業者の義務及びペナルティが規定されており、更にそれらの規定は2020年法改正で強化されています。
個人情報保護法違反による法定刑
漏えいの発生が即座に罰則の適用というわけではありません。ですが、必要な報告を怠ったり、是正勧告後の命令に応じなかったりした場合、刑事罰が適用される可能性があります。
2022年4月1日から2020年改正法が施行されると、個人情報保護委員会への虚偽報告が行われた場合、「その報告を行った者へも法人等へも50万円以下の罰金刑」、個人情報保護委員会からの命令への違反や個人情報の不正提供等が行われた場合は、「行為者には1年以下の懲役刑又は100万円以下の罰金刑」が、「法人等には1億円以下の罰金刑」とされています。
民事上の損害賠償や信用毀損リスク
刑事罰の対象とはならなくとも、取引先との契約内容など漏えいした情報によっては、民事上の損害賠償責任を問われる可能性があります。漏えいさせた個人への賠償費用が発生することや、取引先の信用に関わる漏えい事故であればその損害賠償も考えられます。
また、個人情報への意識の高まりから、社会的にも個人情報漏えいへの関心が高まっています。漏えい事故が発生した場合、マスメディアで取り上げられることも多く、故意の出来事ではなかったとしても、自社の信用を大きく毀損する可能性があるでしょう。
個人情報保護のためにできること
それでは個人情報漏えいリスクを下げるために、企業内でできることは何でしょうか。
まず何より漏えいリスクについて社内への周知が必要です。個人情報はサイバー犯罪などで漏えいする可能性もありますが、その多くは社内のヒューマンエラーに起因するものです。クラウドサービスの利用時、本来非公開とすべき利用者の登録情報を誤って公開状態にしてしまった、個人情報が記載された書類を通常のゴミとして廃棄してしまい第三者に持ち去られてしまったなど、ひとりの無用心な行いが企業の存続を脅かす事態を招きかねません。
このようなリスクの大きさを周知した上で、社内で個人情報へのアクセスを制限することや、個人情報を含む書類やデータには「社外秘」や「持ち出し禁止」等を明記すること、情報の管理ルールを明確にし、社内の個人情報を簡単に持ち出せない体制にするなどの防止策を実施しましょう。
まとめ
個人情報保護はほとんどの企業にとって無関係ではいられない重要なテーマです。情報化社会の現代において、個人情報に関する意識はますます高まっていくことが予想されます。判断の拠り所となる個人情報保護法も3年ごとの見直しが規定されているため、今後も企業には時代や社会の変化に合わせた対応をし続けることが求められるでしょう。
対応の遅れが自社の信用を毀損し、場合によっては存続さえ危うくするのが個人情報の取り扱いです。社会情勢の変化に応じて自社内の状況を見直し、必要な対策を確認するようにしていきましょう。
キャシュモでは、社会保険労務士をはじめ財務・税務・経理の専門家がワンチームで、個人情報の取扱いを含め様々な経営課題へのアドバイスを提供します。経営上のお悩みは、是非キャシュモへご相談下さい。
