マモリノジダイとは
お役立ち資料
個人情報保護法改正で中小企業も対象に!注意すべき点をわかりやすく解説
個人情報の重要性が高まる昨今。
企業としても個人情報の扱いについては年々慎重さが求められています。
そのため、個人情報保護法も改正が繰り返され、そのたびに規定が厳しくなっています。
しかし、個人情報の扱いに関して具体的にどういった点に注意すればいいのか、そもそも個人情報保護法とはどういうものなのか、などについて詳細に把握できていないという方も多いでしょう。
そこでこの記事では、個人情報保護法の概要や目的、中小企業が気を付けるべき点などについて詳しく解説していきます。
そもそも個人情報保護法とは
個人情報保護法について、「名前は聞いたことがあるものの詳しくは知らない」という方も少なくないはずです。
まずは、個人情報保護法がどういったものなのかについてわかりやすく紹介していきます。
概要
政府広報オンラインでは、個人情報保護法について以下のように説明されています。
| 氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。 一方、それらの情報を活用することで、行政や医療、ビジネスなど様々な分野において、サービスの向上や業務の効率化が図られるという側面もあります。 そこで、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」(正式名称:個人情報の保護に関する法律)が平成15年(2003年)5月に制定され、平成17年(2005年)4月に全面施行されました。 |
出典)政府広報オンライン「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは?」
データの利活用が活発になってきたことで、個人情報の重要性は日に日に増しています。
そういった情勢を受け、個人情報を扱う事業者に対して、「情報の収集」「利用」「管理」「提供」といった各段階における具体的な義務と責任を定めるために、個人情報保護法が制定・施行されました。
個人情報保護法の目的
個人情報保護法の目的は、大別すると以下の2つとなります。
個人情報に対する権利と利益を保護すること
個人情報を適正かつ効果的に活用すること
重要なのは、「ただ個人情報を保護するに留まらない」という点です。
社会の発展には、個人情報の有効活用が欠かせません。
したがって、個人情報の適切な利活用を促進し、消費者のニーズに寄与することで生活を豊かにする、ということも目的となっています。
個人情報に関して、「保護」と「適切な利活用」を両立させることが、個人情報保護法の目的だと言えます。
個人情報に含まれるもの
個人情報とは、「生存する個人」に関して、個人を特定できる情報全般のことを指します。
例えば、以下のような情報です。
- 氏名
- 性別
- 生年月日
- 住所
- 住民票コード
- メールアドレス
- 顔写真
- 携帯電話の番号
- 職業
- 年収
- 最終学歴
- 家族構成
- 本籍地
これらは個人情報のごく一部であり、「生きている個人を特定し得る情報」ならば、すべてが個人情報に該当します。
違反した際の罰則の例
個人情報保護法に違反した場合、厳しい罰則が科される可能性があるため細心の注意を払わなければなりません。
たとえば、個人情報保護法に違反し、個人情報保護委員会からの改善命令にも従わなかった際には、個人ならば「1年以下の懲役または100万円以下の罰金」、法人ならば「1億円以下の罰金」が科せられます。
このように、非常に重い刑事罰を受けるケースがある上、企業が罰則を科された場合には、これまで積み重ねてきた信用を一気に失うことになるため、そのダメージは甚大です。
個人情報保護法は3年ごとに改正される
個人情報保護法は、2015年の改正によって、「3年ごとに見直す」という内容が盛り込まれました。
現代では「情報技術の急速な進化」や「社会環境の変化」が非常に激しいため、時代に合わせた柔軟な個人情報の取り扱いができるよう、定期的に見直す必要があるからです。
そして2022年には、「3年ごとに見直す」と規定されてから初となる改正個人情報保護法が施行されました。
従来の内容と比べ、個人情報の取り扱いについて大幅に厳しい規定が設定されたことが特徴です。
例としては、「個人情報に対する本人の権限拡大」「法人への厳罰化」などが挙げられます。
ビジネスに不可欠な「個人情報」の重要性は、今後も高まっていく可能性が非常に高いため、改正を重ねるごとに規定が厳しくなっていくことでしょう。
したがって、改正が行われる3年を目途に、個人情報保護法がどのように変わったのかを把握していく必要があります。
改正された個人情報保護法で中小企業が注意すべきこと
「3年ごとの見直し」が盛り込まれて以降、個人情報保護法は定期的に改正が行われています。
この項目では、改正された個人情報保護法において、中小企業が注意すべきことについて詳しく解説していきます。
個人情報を扱うすべての事業者が対象になっている
2005年から施行された個人情報保護法。
当時は、扱っている個人情報が「5,000人以下」の企業は対象外でしたが、2015年に施行された改正個人情報保護法から、1件でも個人情報を扱っている企業はすべて対象となりました。
中小企業の経営者・経営層の中には、「我が社には関係がない」と考えている方もいるかもしれません。
しかし、個人情報保護という観点では、事業規模の大小や業種は一切関係がないのです。
大企業と比べ、中小企業はリソースが限られていることから、個人情報保護に関する体制を整えるのが困難なケースもあります。
とはいえ、企業価値を守るためには疎かにすることができない部分です。
個人情報の取り扱いに関するガイドラインの策定や、個人情報の不正利用や漏洩を防ぐための体制づくりには手を抜かないようにしましょう。
企業の違反に対する取り締まりが進んでいる
個人情報保護法は、これまでに3回に渡る大きな見直しが行われており、そのたびに規定や罰則が厳しくなっています。
| 2015年改正、2017年施行 | ■個人情報を管理する行政機関「個人情報保護委員会」の新設 ■個人情報を扱うすべての事業者を個人情報保護法の対象とする ■国境を越えたグローバルな制度整備 ■個人を識別できないようにする「匿名加工情報」に関する制度の創設 |
| 2020年改正、2022年施行 | ■任意だった「一定の要件を満たす個人情報の漏洩」に関する個人情報保護委員会への報告が義務化された ■本人による情報の開示や利用停止、消去などを請求できる権利が強化された ■これまでは法人・個人ともに同額だった罰金が、法人に対しては罰金の額が大幅に引き上げられた |
| 2021年改正、2022年一部施行、地方公共団体などに関する部分は2023年施行 | ■地方公共団体の機関・地方独立行政法人のルールを一体化するため、個人情報保護に関するルールが全国的に共通となった |
まとめると、1回目の改正では「対象の拡大」、2回目は「厳罰化」、3回目は「罰則の共通化」がテーマになっていると言えます。
特に、厳罰化の流れが進んでいることは、企業として看過できません。
情報漏洩には細心の注意を払う
情報漏洩は、企業としての信用を失うだけでなく、法律的な責任も伴う重大な問題です。
前述の通り、2022年に施行された改正個人情報保護法では、情報漏洩に対する取り締まりが一層強化されており、中小企業もその例外ではありません。
したがって、情報漏洩を防ぐために、以下のような対策を徹底してください。
- 従業員に対して、個人情報の取り扱いに関する教育や研修を定期的に実施する
- 個人情報を管理しているITシステムのセキュリティを強化する
特に、ITシステムのセキュリティ対策は急務です。
大企業に比べて資本力の劣る中小企業の場合、セキュリティ対策のような「直接的に利益を生まないバックオフィス業務」に費用を投じるのは難しいというケースもあるかもしれません。
しかし、問題が発生してから後悔しても遅いのです。
近年では、サイバー攻撃が複雑化の一途を辿っており、企業による情報漏洩の件数も急増しています。
企業としての守備力を高めることが重要な時代です。将来的なリスクを払拭するためにも、セキュリティ対策にかける費用や時間を惜しまないようにしてください。
併せて、仮に情報が漏洩してしまった場合に備えて、迅速に対応するためのガイドラインや体制を整備しておくことも重要です。
「情報漏洩の恐れがある」だけでも報告義務がある
従来までは、個人情報の漏洩があっても、本人への通知や個人情報保護委員会への報告は「努力義務」でした。
要は「任意」であり、通知や報告については、してもしなくても構わない状態だったのです。
しかし、2022年に施行された改正個人情報保護法では、1件でも個人情報の漏洩が発覚した場合は、本人への通知も個人情報保護委員会への報告も「義務」となりました。
それだけでなく、「1,000人以上の個人情報が漏洩したおそれ」がある場合も、個人情報保護委員会への報告が義務となります。
たとえば、メルマガ配信の際に、BCC欄を使って一斉送信しようとしたところ、間違ってCC欄にメールアドレスを載せてしまったようなケースです。
メールアドレスも立派な個人情報であり、「情報漏洩のおそれがある」と判断されます。
このように、実際に個人情報が流出したかが明確でなくとも、状況次第で報告義務が発生するほど個人情報の取り扱いがシビアになっていますので、システムエラーや人為的なミスを極限まで減らすための努力が必要です。
個人情報保護は「企業の規模を問わない重要課題」に
これまで解説してきた通り、個人情報の取り扱いは、企業の規模を問わない共通の重要課題となっています。
万が一、個人情報保護法に違反してしまえば、莫大な罰金を科されるだけでなく、社会的な信用も失ってしまいます。
主力の商品やサービスの売上が軌道に乗った時期にそのようなことが起こってしまえば、すべてが台無しになることでしょう。
「我が社が扱っている個人情報はあまり多くないから問題ない」といった誤解から、情報管理が甘くなってしまうと、いつ情報漏洩の憂き目に遭ってしまうかわかりません。
個人情報の漏洩は、1件でも発生すれば大問題となるのです。
企業規模を言い訳にせず、中小企業こそ身を引き締めてリスクマネジメントを徹底し、個人情報の取り扱いについても慎重になるべきです。
まとめ
以上、中小企業にとって個人情報保護法を遵守することがいかに大事か、を中心に解説してきました。
個人情報の適切な管理は、法令違反のリスクを減らすだけでなく、企業の信頼性を高めて消費者との関係を強化する重要な要素です。
もし、個人情報を軽視している中小企業の経営層の方がいれば、すぐに考えを改め、十分な対策を実施するようにしてください。
関連記事
-
コーポレートガバナンスとは?設定する目的、コードの内容、事例などを解説
コーポレートガバナンスとは、企業が適切かつ健全な経営を行うための仕組みやルールを指します。企業がコーポレートガバナンスを強化することで、株主や従業員をはじめとするステークホルダー全体との信頼関係の構築が可能です。
-
セクシュアルハラスメントの定義は?種類や事例を学んでリスク回避
セクシュアルハラスメントは、職場や日常生活で広く知られている重要な課題で、企業にとっても経営リスクを伴う深刻な問題です。この記事では、セクシュアルハラスメントの定義やリスク、事例をもとに、職場環境を守るための防衛策を紹介します。
-
内部統制とは?目的・構成要素・ガバナンスとの違いをわかりやすく解説
内部統制を構築することでどういったメリットを享受できるのか、どのような構成要素があるのかについて詳しく把握できていないということもあるのではないでしょうか。そこでこの記事では、内部統制における4つの目的と6つの構成要素を中心に、内部統制に必要なJ-SOXの3点セット、内部統制に取り組むことで得られるメリットなどについてわかりやすく解説していきます。
-
COSOとは?内部統制フレームワークの原則や活用事例をわかりやすく解説
企業の内部統制について意識している経営層の方の中には、「COSO」に興味を持っている方も少なくないでしょう。しかし、COSOが具体的にどのようなものなのか、経営に対してどう役立つのか、といった点について把握できていないことも珍しくないはずです。
-
ハラスメントとは?種類、職場での対策、法律、事例を徹底解説
ハラスメントを直訳すると「嫌がらせ」や「いじめ」です。特に職場では、権力や地位を利用して、弱い立場の相手を身体的・精神的に傷つける行為を指します。企業内でハラスメントが起きてしまうと、商材の販売や採用面で不利益を被ってしまうリスクがあります。リスクヘッジが必要です。しかし人事部の方のなかには「何がハラスメントにあたるのか」「具体的に何をすべきなのか」と悩んでいる方も多いでしょう。そこで今回は「ハラスメント」について、言葉の定義や種類、関連する法律、事例、対策などを網羅的に解説します。