個人情報保護法について

個人情報保護法は、正式には「個人情報の保護に関する法律」という名称の法律です。

http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

 

個人情報保護法では、個人情報を5000人分以上持っている事業者は、「個人情報取扱事業者」としての義務を負うとされています。

個人事業主は、個人情報を5000人分以上持って事業に使っていれば「個人情報取扱事業者」になりますが、ただの個人がアドレス帳に5000人以上の個人情報をもっていても「個人情報取扱事業者」の義務は負いません。

平成29年5月30日に改正され、1人分でも個人情報を持っている事業者は「個人情報取扱事業者」としての義務を負うことになりました。

関連記事

「個人情報」とは、生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別できる情報を指します。(個人の情報は保護しても故人の情報は保護しなくても良いらしいです、本当に。)

個人情報取扱事業者の義務は多岐にわたりますが、主なものを挙げると以下のようになります。

  • 個人情報の利用目的をできる限り特定し、その範囲を超えて取り扱ってはならない。
  • 個人情報を取得する場合には、利用目的を通知・公表しなければならない。
  • 個人情報を安全に管理し、従業員や委託先も監督しなければならない。
  • 本人の同意なしに第三者に個人情報を提供してはならない。 
  • 本人からの求めがあった場合には、その開示、訂正や削除に応じなければならない。

これらの義務に違反していると主務大臣からの改善命令が出されます。

さらにその命令にも違反していると「6ヶ月以下の懲役または30万円以下の罰金」が課せられます。

これだけ聞くと大したことないようですが、そのほか、民事での賠償も求められる可能性があります。(過去にどんな事例があったかについては別の機会に紹介します。)

企業にとっては個人情報を持つことに対するリスクが増加したことになります。

それまでフリークエンシープログラムの常道として会員カードを作って顧客情報を管理していたチェーン店が、この法律が施行されたのを機に、全部顧客情報を捨てたという例もあります。

結局のところ、費用対効果の問題で、個人情報を持つことが事業に対して大きく貢献するなら費用をかけても徹底的に管理する必要がありますし、個人情報を持っていても対して役に立たないなら思い切って捨ててしまうというのも手だと思います。

組織全体に個人情報保護を徹底させたいという希望があるなら認定制度にチャレンジするのが一石二鳥になって有効だと思います。

ということで次回は個人情報保護にどんな公的認定制度があるのかご紹介したいと思います。

 

コラム一覧へ