新宿の顧問弁護士なら弁護士法人岡本(岡本政明法律事務所)
当事務所では、上場企業(東証プライム)からベンチャー企業まで広範囲、かつ、様々な業種の顧問業務をメインとしつつ、様々な事件に対応しております。
個人情報保護法改正で会社は何をどのように対応すれば良いか。
- カテゴリ :
- マイナンバー制度・個人情報
一 個人情報保護法が改正され、平成29年5月30日から施行されます。これまでは取り扱う個人情報が5000人以下の事業者には関係ありませんでしたが、今回の改正後はこのような企業にも個人情報保護法が適用されることになります。
履歴書一つを取ってもお分かりの通り、従業員を雇っている場合、必ずと言って良いほど個人情報を取り扱っていますので、今回の改正により、個人情報保護法を無視して良い会社は殆ど無くなったと言えると思います。
二 では、個人情報保護法が改正されたことにより会社は何をどのように対応すれば良いのでしょうか。
まず、ホームページのトップページから1クリック程度の場所にしっかりとした内容のプライバシーポリシーを載せることです。
個人情報保護法は、①個人情報を適正な方法で取得すること、②利用目的を特定し、③利用目的の範囲内で取り扱うこと、④利用目的をあらかじめ公表しておくこと等を求めております。
そのため、会社がどのような目的で個人情報を利用するのかについてしっかりと検証した上で、中身のあるプライバシーポリシーを掲載する必要があります。
個人情報保護法は、①個人情報を適正な方法で取得すること、②利用目的を特定し、③利用目的の範囲内で取り扱うこと、④利用目的をあらかじめ公表しておくこと等を求めております。
そのため、会社がどのような目的で個人情報を利用するのかについてしっかりと検証した上で、中身のあるプライバシーポリシーを掲載する必要があります。
三 次に、従業員や委託先をしっかり監督するなどして個人データ(個人情報がデータベース化されたもの等を個人データといいます)を厳格に管理する必要があります。
個人情報保護委員会が公表している「個人情報保護の法律についてのガイドライン」によりますと、「従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏洩した場合」や「個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合」等には、個人情報保護法違反になってしまいます。
それ以外にも、個人データを委託するにあたり、必要な安全管理措置の内容を指示しなかったり、再委託の条件に関する指示を委託先に行わなかったりした場合には、違法になってしまう可能性があります。
そのため、外部の業者と契約する場合には、個人情報の管理に関する規定を業務委託契約の内容にしっかりと盛り込む必要があります(逆に、個人情報を預かる側の会社も必要以上に不利にならないような契約内容にする必要性が今以上に高くなることになります)。
個人情報保護委員会が公表している「個人情報保護の法律についてのガイドライン」によりますと、「従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏洩した場合」や「個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合」等には、個人情報保護法違反になってしまいます。
それ以外にも、個人データを委託するにあたり、必要な安全管理措置の内容を指示しなかったり、再委託の条件に関する指示を委託先に行わなかったりした場合には、違法になってしまう可能性があります。
そのため、外部の業者と契約する場合には、個人情報の管理に関する規定を業務委託契約の内容にしっかりと盛り込む必要があります(逆に、個人情報を預かる側の会社も必要以上に不利にならないような契約内容にする必要性が今以上に高くなることになります)。
四 また、名簿業者等が個人データを第三者に提供する場合には、個人情報保護委員会に届け出るとともに、提供の年月日や受領者等の記録をしなければならなくなりました。
名簿業者等から個人データを購入して営業をかけるという会社もあると思いますが、名簿業者から個人データを購入する側も、名簿業者が個人情報保護委員会に届け出ているかどうかを確認した上で、取得経緯等を確認、記録し、保存しなければならなくなりました。
他の会社との間で個人データをやり取りする場合には、今まで以上に厳格な対応が必要になったわけです。
他の会社との間で個人データをやり取りする場合には、今まで以上に厳格な対応が必要になったわけです。
五 親子会社やグループ会社間で個人データをやり取りする場合にも、第三者に提供していることになってしまいますので、何の対応もしないまま行ってしまうと、個人情報保護法違反になってしまいます。
そのため、個人情報保護法には「共同利用」という制度が設けられています。
親子会社やグループ会社間で個人データを利用する場合で、「共同利用」として個人情報保護法違反にならないためには、「共同して利用される個人データの項目」や「共同して利用する者の範囲」などをプライバシーポリシー等にあらかじめ記載しておく必要があります。
プライバシーポリシーに「共同利用」の項目がない場合には、できる限り早めに記載した方が良いと思います。
そのため、個人情報保護法には「共同利用」という制度が設けられています。
親子会社やグループ会社間で個人データを利用する場合で、「共同利用」として個人情報保護法違反にならないためには、「共同して利用される個人データの項目」や「共同して利用する者の範囲」などをプライバシーポリシー等にあらかじめ記載しておく必要があります。
プライバシーポリシーに「共同利用」の項目がない場合には、できる限り早めに記載した方が良いと思います。
六 さらに、個人情報保護法改正に伴い、個人データの開示、訂正、利用停止等の請求が裁判上の権利として明記されました。
そのため、一定の要件を満たした場合、保有個人データに関して訴訟を提起されるリスクも生じています。
今まで個人データの開示、訂正、利用停止等を請求されたことのない企業であっても、今後は、裁判になる前に、どのように対応するのかを良く検討しておいた方が良いと思います。
そのため、一定の要件を満たした場合、保有個人データに関して訴訟を提起されるリスクも生じています。
今まで個人データの開示、訂正、利用停止等を請求されたことのない企業であっても、今後は、裁判になる前に、どのように対応するのかを良く検討しておいた方が良いと思います。
七 今回の個人情報保護法の改正では、特定の個人を識別することができないように個人情報を加工した情報(匿名加工情報)に関するルールを明確化することにより、ビッグデータを活用したマーケティング業務等を行いやすくなったという一面もあります。
しかし、そのように個人情報等の有用性が確保された反面、データベース提供罪(1年以下の懲役又は50万円以下の罰金、会社の代表者や役員も処罰される可能性があります)が新設されるなど個人情報の保護に関して厳格な規制もなされております。
知らず知らずのうちに個人情報保護法違反になってしまわないように十分な法対応を行うとともに、仮に個人情報が漏洩してしまった場合にも適切な措置を取る必要があります。
当事務所では、個人情報保護法改正に伴う法対応に関するアドバイスを顧問会社に対して行っているほかに、「ウェブシステム会社に対して個人データを委託していたところ、個人情報が漏洩したという事案」でシステム会社との間の紛争を処理したりもしております。
具体的にどのようにすれば良いのかが不安であるという方は是非当事務所にお問い合わせください。
知らず知らずのうちに個人情報保護法違反になってしまわないように十分な法対応を行うとともに、仮に個人情報が漏洩してしまった場合にも適切な措置を取る必要があります。
当事務所では、個人情報保護法改正に伴う法対応に関するアドバイスを顧問会社に対して行っているほかに、「ウェブシステム会社に対して個人データを委託していたところ、個人情報が漏洩したという事案」でシステム会社との間の紛争を処理したりもしております。
具体的にどのようにすれば良いのかが不安であるという方は是非当事務所にお問い合わせください。