経営者が知っておきたい個人情報保護法

2017年5月30日に改正個人情報保護法が施行されています。

以前は保有している個人情報が5000件以下の事業者には適用されませんでした。
しかし、改正により1件でも個人情報を扱う場合は個人情報保護法が適用されるようになりました。

中小企業の皆さんは、個人情報保護法についても知っておく必要が出たのです。

誰が個人情報取扱事業者になるのか？

個人情報データベースなどを事業で使っている者です。

法人か個人かは問いません。

だから、個人事業主も対象になります。

また、ここでいう「事業」とは一定の目的を持って反復継続して遂行される同種の行為をいい、営利か非営利かも問われません。

そのため、自治会やPTAなども個人情報取扱事業者となります。

 

個人情報データベースの例

個人情報データベースとは何か？です。

事業者が作成する顧客名簿や会員名簿だけに限らず、下記も個人情報データベースに該当します。

・メールソフトのアドレス帳
・仕事で使用する携帯電話の電話帳
・エクセルなどソフトで管理された従業員名簿や顧客リストなど

つまり、紙又は電子データに限らず、ある情報から容易に特定の個人を識別できるモノが、体系的に整理された状態のものは個人情報データベースに該当します。

何をしておけばいいのか？

情報の管理について

基本的に個人データが流出しないように管理すればいいのです。

・個人データを取り扱う人を決めておく（誰でも容易に閲覧できる状態は避ける）。
・取扱規程を整備し、規程に従った運用をする。
・電子データであれば、パスワードを掛けたり、アクセス制限を掛け、ウィルス対策ソフトを使用する。
・個人情報を取り扱う従業員を教育し、取り扱う際のルールを徹底する。
・個人情報を委託する場合は、委託先を監督する。

などなど。

利用目的や第三者提供について

個人情報を取得した場合は利用目的を本人に示す必要があります。
利用目的の通知や公表の方法は定められていません。
そのため、口頭でも構いませんし、メールや書面で通知、HP上で公表でもいいです。
情報を取得した状況から利用目的が明白な場合は、通知や公表の必要はありません。

また、取得した情報を第三者へ提供する場合には、本人の同意が必要です。
本人へ同意を取る方法も特に定められていません。

そして、第三者へ提供した場合はいつ、どこへ情報を提供したか記録する必要もあります。

例外として、警察や裁判所などから法令に従って提供を求められた場合など一定の場合には、本人の同意は必要ありません。

まとめ

違反すると、6か月以下の懲役または30万円以下の罰金が課せられます。

けど、個人情報が流出すると、30万円以下の罰金どころか、信用を失墜し事業において大きなダメージを受けたり、被害者から多額の損害賠償を請求される可能性もあります。

中小企業の経営者もある程度は知っておく必要がありますね。