行政書士 小西勝事務所

個人情報保護

Service 2個人情報保護

中小規模事業者の個人情報保護基本方針・個人情報保護規程の作成

「個人情報保護法が改正されて、うちのような小さな商店でも個人情報保護に関する基本方針(プライバシーポリシー)や、個人情報保護規程を作成する必要があると聞いたのですが、どのようにすればいいのでしょう?」というご質問をいただきましたので、基本的なことから解説していきましょう。

パン屋さんの写真

個人情報保護法の対象となる事業者

個人情報保護法は、個人情報等の取り扱いについて「個人情報取扱事業者」が守るべき義務を定めています。

改正前の個人情報保護法では、従業員100人以下で、取り扱う個人データが5,000件以下の中小規模事業者は対象外とされていましたが、改正個人情報保護法が平成29年5月30日に施行され、個人データの件数にかかわらず原則として*すべての「個人情報取扱事業者」は個人情報保護法に規定する義務を負うこととなりました。(* 報道機関や著述業などの例外があります。)

個人情報取扱事業者とは

この「個人情報取扱事業者」とは、個人情報データベース等(個人情報を検索可能な状態で保管したもの)をその事業活動に利用している者のことを言います。

・・・まるで禅問答のようでわかりづらいので具体例をあげましょう。

たとえば、以下のような場合も個人情報取扱事業者に該当します。

  • ・メールソフトのアドレス帳に顧客のメールアドレスを登録している。
  • ・仕事で使うスマホに顧客の電話番号が登録されている。
  • ・会員の氏名・住所などをエクセルで一覧管理している。
  • ・お客様からの注文書を名前順にファイルに綴じている
  • ・従業員の履歴書をファイルに保管している。

いかがですか?
おそらくあなたの事業所でも、これらに類するものを扱っているはずです。

ちなみに、個人情報取扱事業者に営利・非営利の区別はなく、また、法人のみならず個人も含みますので、株式会社はもちろん、一般社団法人、NPO法人、個人事業主、そして自治会なども例外ではありません。

このため、ほとんどの事業者は個人情報取扱事業者にあてはまると考えられます。

個人情報取扱事業者は何をすればいいの?

個人情報保護法には、個人情報の利用目的の特定・通知、利用範囲の制限、適正な取得方法、内容の適正性、安全管理措置、従業者の監督、第三者提供の制限などが規定されています。そして、そのために事業者はどのような措置を講ずればいいかについて、内閣府の外局である個人情報保護委員会がガイドラインを出しています。
個人情報保護委員会 https://www.ppc.go.jp/personal/legal/ (外部リンク)

個人情報取扱事業者は、このガイドラインに沿って個人情報の取り扱いに関する規程等を作成し、しっかりと運用することが必要です。

一般的に、小規模事業者に必要な規程等を簡略にまとめると、以下のとおりです。

1 個人情報保護に関する基本方針(プライバシーポリシー)

「事業者の名称」、「関係法令・ガイドライン等の遵守」、「利用目的」、「安全管理措置に関する事項」、「問い合わせ窓口」等を定め、ホームページなどで公表します。

2 個人情報保護規程

個人データの取得、利用、保存等を行う場合の基本的な取扱方法を定めます。
なお、以下の内容は中小規模事業者には特に求められていませんが、私の経験上、事業者の実情に則したものを整備するべきだと考えています。

(1)組織的安全管理措置
個人データの取扱いに関する責任者や担当者など組織体制を明確にします。

(2)人的安全管理措置
従業員に対して定期的に研修・教育を行います。
なお、就業規則作成義務事業者は、これに個人情報保護義務及び罰則等を規定します。

(3)物理的安全管理措置
PC、電子媒体、ファイル等の管理方法を具体的かつ詳細に定めます。

(4)技術的安全管理措置
個人データを取り扱う機器とアクセス権者を明確にし、不正なアクセスや情報漏えいを防止するための技術的措置を定めます。

さらに、個人データの取り扱い状況に応じて別規程が必要な場合もあります。

個人情報保護の措置をしなかった場合のリスク

社会の加速度的な情報化により、個人の権利利益を侵害する危険もますます高まっています。

もし、個人情報保護の措置を怠った結果、情報漏えいなどの事故が生じた場合、事業者は社会的な信用を失うとともに、刑事罰や損害賠償責任を負う可能性もあります。

個人情報保護法の改正で新たに対象となった中小規模事業者さんで、「まだ何も対策していないよ」という方がいたら、できるだけ早く個人情報保護に関する基本方針や諸規程を作成することを強くお勧めします。

もちろん、単に基本方針や規程を作成するだけでは十分ではありません。みずから定めたルールを遵守すること、そのための従業員教育も含めた組織的な取り組みが重要になります。

当事務所では、個人情報保護に関する諸規程の作成はもちろん、従業員研修や定期監査も含めたトータルサポートも安心してお任せいただけますので、お気軽にお問い合わせください。