マイナンバーへの対応より大変かもしれない改正個人情報保護法への対応

投稿日: 2017/01/31 8:46:20

改正個人情報保護法が平成２９年５月３０日から全面施行されます。

この改正により、これまで適用除外とされていた小規模事業者（取り扱う個人情報が５，０００以下の事業者）についても個人情報保護法の対象となります。また、企業だけでなく自治会やＯＢＯＧ会（同窓会組織）、ＮＰＯ法人等の非営利組織であってもその対象となります。

マイナンバーは使用目的が限定されていますが、個人情報の使用目的は広範であり、この個人情報を事業に活用していない小規模事業者はないと思われますので、守るべき個人情報保護のルールへの対応が必要となってきます。

（１）そもそも個人情報とは？

生存する個人に関する情報で「ある特定の人物」のものだとわかるものが個人情報です。今回の改正では氏名、住所などの他にＤＮＡや声紋といった身体的特徴等も個人情報に含まれることが明確化されました。

（２）事業者が守るべきルールとは？

①個人情報を取得・利用する時のルール

②個人情報を保管する時のルール

③個人情報を他人（本人以外の第三者）に渡す時のルール

④個人情報を外国にいる第三者に渡す時のルール

⑤本人から個人情報の開示を求められた時のルール

このように書くと難しく感じますが、もう少し噛み砕くと次のようになります。

①個人情報を取得する時は、利用目的を具体的に定めて本人に伝える。

取得した個人情報は利用目的の範囲内で利用する。

②取得した個人情報は漏えい等が生じないように安全に管理する。

③及び④ 個人情報を他人に渡す時は、原則として、あらかじめ本人の同意を得る。

⑤本人からの請求に応じて、個人情報を開示、訂正、利用停止等する。

個人情報の取扱いに関する苦情にはきちんと対応する。

このように各事業者において、それぞれの段階（取得・利用、保管など）における個人情報の取扱いについて社内規程の作成等によりルールを整備する必要があります。

なお、②の個人情報を安全に管理する時のルールについては、一般的な手法とは別に中小規模事業者（従業員１００人以下の事業者で、取り扱う個人情報の数が５，０００人分以下の事業者など）においても実行できるような手法がガイドラインに例示されています。

全面施行まで残り約４カ月。これを機会に所属する組織におけるルールを見直してみたらどうでしょうか。