個人情報保護法は、正式には「個人情報の保護に関する法律」と称される法律です。
かつては個人情報5,000人分以上を保有する事業者が「個人情報取扱事業者」としての義務を負うとされていましたが、平成29年5月30日の法改正により、個人情報を1人分でも保有する全ての事業者がこの義務を負うことになりました。
「個人情報」とは、生存する個人に関する情報であり、氏名、生年月日などのデータによって特定の個人を識別できる情報を指します。
個人情報取扱事業者の義務は多岐にわたりますが、主なものは以下の通りです。
・個人情報の利用目的をできる限り具体的に特定し、その範囲を超えて取り扱わないこと。
・個人情報を取得する際は、利用目的を本人に通知または公表すること。
・個人情報を安全に管理し、従業員や委託先も適切に監督すること。
・本人の同意なく個人情報を第三者に提供しないこと。
・本人からの開示、訂正、削除の求めがあった場合には、これに応じること。
これらの義務に違反した場合、主務大臣からの改善命令が出されます。さらに命令に違反した場合は、懲役刑や罰金(法人の場合は最大1億円!)が課せられる可能性があります。
刑事罰に加えて、民事での損害賠償請求を受ける可能性もあります。
個人情報保護のガイドラインは下記のリンクからダウンロードできます。
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
この法律の施行により、企業にとって個人情報保有のリスクが増大しました。例えば、これまで顧客情報管理のために会員カードを発行していたチェーン店が、この法律を機に顧客情報を破棄したケースも見られます。
したがって、個人情報を保有することが事業に大きく貢献するのであれば、費用をかけて徹底した管理体制を築く必要があります。一方で、個人情報が事業にあまり役立たない場合は、思い切って情報を破棄することも選択肢となり得ます。
組織全体で個人情報保護を徹底したいのであれば、認定制度への挑戦が有効な手段となるでしょう。
次回は、個人情報保護を含んだ情報セキュリティ関する公的認定制度についてご紹介します。