ある日の早朝、従業員の田中は会社のドアを開けると同時に叫んだ。 「社長!個人情報保護法が改正されたそうです!」 「個人情報保護法? ここは、従業員30名、建築やリフォームを仕事にしている埼玉県の岩本商事である。 「社長、個人情報保護法の内容を知っているんですか?」 「知らん。 「何おっしゃられてるんですか、社長。 「どういうことだ? ある日の早朝、個人情報保護法が、大きな会社にしか関係ないと考えていた社長に大きな転機が訪れようとしていた。
そんな大仰なもんは、うちんとこみたいな小さい会社には関係ないよ。」
だが、5000人分以下の個人情報を取り扱う事業者は
個人情報保護法は適用されないと聞いたことがある。
だからうちには関係ないよ。」
今年の5月30日からは、
5000人以下の個人情報を扱う事業者も「個人情報取扱事業者」になって、
個人情報保護法が適用されるんです!」
個人情報取扱事業者だって?
それはいったい何なんだよ。」
岩本商事も「個人情報取扱事業者」に!
従業員の田中は事の重大さを伝えるため、必死に説明する。 「私達の会社では取引の度に、そのお客様との取引内容を 「そうだな。」 「その書類には 「そうだ。」 「そのお客様ごとの書類を、社長が誰でも探しやすいように 「おう…そうだな。」 いつも穏やかな田中が今日はまくし立てるように話す。 「ズバリその場合、その書類は つまり、誰もが個人情報を簡単に探せる状態になっている情報の集合物に該当するってことです。」 「書類が「個人情報データベース等」に該当するとどうなるんだ?」 「私達の会社のように、 すなわち、岩本商事も個人情報保護法が適用されるってことです。」 「…そうか。それはいよいよ大変だな。その個人情報保護法に違反すると、どうなるんだ?」 社長はようやく事の重大さに気づくと同時に、不安な気持ちになってきた。
書類(又はパソコン上のデータ)で残していますよね?」
お客様の名前や住所、連絡先
を書いているじゃないですか?」
名前の五十音順
に従って整理してますよね?」
「個人情報データベース等」
に該当するんです。
この「個人情報データベース等」にあたる書類を事業の用に供している事業者は
その書類に個人情報が1つでも含まれていれば、
「個人情報取扱事業者」に該当するんですよ。
個人情報保護法に違反したらどうなるのか?
従業員の田中は、調査してきたことを語る。 「個人情報保護委員会が社長や従業員に個人データの管理について 「そらそうだ。」 「また個人情報を流出させてしまうと 「…これはうかうかしてはいられないな。早急に個人情報保護法に対応する必要がありそうだ。他にはいったいどんな改正がされたんだ?」 社長は個人情報保護法の改正内容を知る気になったようだ。 従業員の田中は社長に理解してもらえたようでひとまず胸をなでおろした。
聞き取りをしたり、
私達の事業場に立ち入って、資料を集めたりするそうですよ。
また、場合によっては個人情報保護委員会から勧告、命令を受ける可能性があるそうです。
私達の会社は従業員が少ないですから、こんなことになれば、
個人情報保護委員会への対応に人員が割かれてしまって仕事が回らなくなってしまいますよ。」
本人から損害賠償請求を受けることもあるみたいです。
最近はネット社会ですから、一度こういう事態が起こると、
被害者がネットに書き込んだりして、炎上する事例もたくさんあるとか。
私達のような中小企業がこんな不名誉な書き込みをされれば、
大きな営業損失になりますよ。」
個人データの提供を「オプトアウト手続き」で行う際、5つの事項を個人情報保護委員会に届け出よ。
「社長。個人情報保護法では、個人データを第三者に渡すときに、 「「個人データ」っていうのは何なんだ?」 「さっき言った個人情報データベース等を構成している個人情報のことですよ。 「しかし、俺の会社が個人データを他の誰かに渡す場面なんて、 「それが大ありらしいんですよ! 「そうか…そうすると、岩本商事グループ会社にこの書類を渡すときは、 「社長、その場合はオプトアウト手続きを使えばいいんですよ。」 「オプトアウト手続きだって?横文字を言われてもわからんよ。」 社長は不安な中、横文字がでてきてますます混乱した。 「第三者に渡す個人データの項目(氏名や住所等)等を 「お前、くわしいじゃないか。 田中は社長に褒められて嬉しそうだ。 「勉強しましたからね。へへへ。 「そんな面倒くさいことをしないといけなくなったのか… 「そういうことです、社長。もっとも「共同利用」の場合で特定の手続きをとった場合や他一定の場合には本人の同意を得たり、オプトアウト手続きを行うことは不要らしいですよ。」 社長は「共同利用」というものがよくわからなかったため、後で法律事務所に相談しにいくことに決めた。
原則として本人の同意を得る必要があるんです。」
書類上のお客様の氏名とか住所、連絡先がこれに該当します。」
俺のグループ会社である岩本商事グループ会社だとか、
親会社の岩本商事親会社に取引先を紹介する場面くらいじゃないか。
そもそも同じ系列会社同士なんだから問題ないだろ。」
親子兄弟会社、グループ会社間で個人データを交換する場合も
個人情報保護法の「第三者提供」っていうことになって、
本人の同意が必要になるらしいんです。」
そこに載っている個人情報元の本人から同意を得る必要があるわけだな?
中小企業と言っても数百人はいるからな…
一人一人から同意を得るなんてかなり負担が大きいぞ。」
我が社のホームページ等に掲載(事業所の窓口での書面の掲示でもよい。)すればいいんですよ。
掲載後は本人がそのホームページを見て、我が社に対し
「自分の個人情報を渡さないでほしい!」と言える期間を設ける必要がありますが、
その期間中、本人が「渡さないでほしい!」と言ってこない限り
我が社は本人の同意なしで第三者に個人データを提供できるっていう手続きなんです。
もっともホームページへの掲載の仕方としては、
本人がわかりやすいように、
ホームページのトップページから1回程度の操作で到達できる場所に
掲載する必要がありますよ。」
で、それは改正前からあった手続きなんだろ?
具体的にどこが改正されたんだ?」
改正によって、個人データを個人情報保護委員会に届け出る義務が新たに課せられたんです。
とにかく、親会社とかグループ会社に個人データを渡す度に本人の同意を得るかオプトアウト手続きが必要なわけだな。」
個人データの受け渡しを行う際、相手方情報を確認し、記録せよ
田中は説明を続ける。 「社長。個人データを第三者と受け渡しする際は、確認・記録義務が課せられるらしいですよ。」 「何を確認して何を記録すればいいんだ?」 社長は次々と「義務」という言葉が飛び出るため、びくびくする。 「例えば第三者から個人データの提供を受けるとき、 「もっとも、一定の場合には一括して記録を作成する方法や契約書等で代替する方法も許されているですけどね。」 社長は確認・記録義務について法律事務所に相談しにいくことに決めた。
個人データを提供してきた第三者の氏名や住所、
法人であれば代表者名を
確認し、記録しないといけないそうです。
確認方法は第三者から口頭で申告を受けたり、
会社のホームページ上の「企業情報」等を見て確認する必要があるそうです。
また、第三者が誰から取得したのか、有償で取得したのかといった第三者の取得経緯も確認し、記録する必要があるそうです。
作成した記録は1~3年間保管しないといけないそうですよ。
なお、我が社が第三者に個人情報を提供するときも、相手方の氏名等の記録義務を負います。」
要配慮個人情報に注意せよ!
「社長。要配慮個人情報なんてものも新たに追加されたらしいです。」
「要配慮個人情報っていうのはなんなんだ?」
「お客様の宗教上の信仰(信条)とか
病歴等(本人の人種、社会的身分、犯罪の経歴、犯罪により害を被った事実等が含まれます。)が要配慮個人情報にあたるらしいです。
うちの会社もリフォームを手掛ける際、お客様から、色々と話しを聞くじゃないですか。
例えばうちはこういう信仰だから、こういった家の構造にしてほしいんだとか、
こういう特定の病歴があって身体が不自由だから
(足が不自由というのみでは該当しませんが、特定の病歴と結びつくことで要配慮個人情報に該当する可能性があります。)、
障碍者でも住みやすい家にしてほしいんだとか。」
「確かにそういった情報を紙に書いて残しておくことはあるな。
そういった情報は他の氏名や住所等の個人データとは違う扱いが必要なのか?」
「はい。
先ほど説明していたオプトアウト手続きはできず、
提供の際には原則としてお客様ご本人の同意が必要らしいですよ。
もっともさっきオプトアウト手続きのところで説明していたように、
共同利用や一定の場合には本人の同意又はオプトアウト手続きを行うことなく要配慮個人情報を提供できるんですけどね。」
最後に
改正個人情報保護法は、事業者に色々なことを要求しているが、
事業者の負担にならないよう例外も多く認めている。
事業者によって、その適用の在り方は大きく異なってきそうだ。
「社長、一応、今日話した個人情報保護法の改正点をまとめておきますね。
1 5000人以下の個人情報を扱う事業者も「個人情報取扱事業者」に!
2 誰もが簡単に顧客の個人情報を検索できるよう、整理している会社は「個人情報取扱事業者」に!
3 個人情報保護法に違反すると、会社が大きな損害を被るおそれあり。
4 オプトアウト手続きを行う際は、第三者に提供する個人データを個人情報保護委員会に届け出ること!
5 個人データの授受の際は相手方情報を確認、記録すること!
6 要配慮個人情報の提供は原則として本人同意が必要、オプトアウト手続きは使えない。
また個人情報保護委員会が中小企業のために今回の改正をわかりやすく説明するページを用意してくれています。読んでおかないといけないですね。」
⇒中小企業サポートページへ
社長は、お客様の個人データを守ることを強く決意し、中小企業サポートページを読んだ後、法律相談に行く準備を始めた。