改正個人情報保護法施行 への準備に向けて～岩本商事は個人データを守れるか～

「そらそうだ。」

「また個人情報を流出させてしまうと
本人から損害賠償請求を受けることもあるみたいです。
最近はネット社会ですから、一度こういう事態が起こると、
被害者がネットに書き込んだりして、炎上する事例もたくさんあるとか。
私達のような中小企業がこんな不名誉な書き込みをされれば、
大きな営業損失になりますよ。」

「…これはうかうかしてはいられないな。早急に個人情報保護法に対応する必要がありそうだ。他にはいったいどんな改正がされたんだ？」

社長は個人情報保護法の改正内容を知る気になったようだ。

「しかし、俺の会社が個人データを他の誰かに渡す場面なんて、
俺のグループ会社である岩本商事グループ会社だとか、
親会社の岩本商事親会社に取引先を紹介する場面くらいじゃないか。
そもそも同じ系列会社同士なんだから問題ないだろ。」

「それが大ありらしいんですよ！
親子兄弟会社、グループ会社間で個人データを交換する場合も
個人情報保護法の「第三者提供」っていうことになって、
本人の同意が必要になるらしいんです。」

「そうか…そうすると、岩本商事グループ会社にこの書類を渡すときは、
そこに載っている個人情報元の本人から同意を得る必要があるわけだな？
中小企業と言っても数百人はいるからな…
一人一人から同意を得るなんてかなり負担が大きいぞ。」

「社長、その場合はオプトアウト手続きを使えばいいんですよ。」

「オプトアウト手続きだって？横文字を言われてもわからんよ。」

社長は不安な中、横文字がでてきてますます混乱した。

「第三者に渡す個人データの項目（氏名や住所等）等を
我が社のホームページ等に掲載（事業所の窓口での書面の掲示でもよい。）すればいいんですよ。
掲載後は本人がそのホームページを見て、我が社に対し
「自分の個人情報を渡さないでほしい！」と言える期間を設ける必要がありますが、
その期間中、本人が「渡さないでほしい！」と言ってこない限り
我が社は本人の同意なしで第三者に個人データを提供できるっていう手続きなんです。
もっともホームページへの掲載の仕方としては、
本人がわかりやすいように、
ホームページのトップページから１回程度の操作で到達できる場所に
掲載する必要がありますよ。」

「お前、くわしいじゃないか。
で、それは改正前からあった手続きなんだろ？
具体的にどこが改正されたんだ？」

田中は社長に褒められて嬉しそうだ。

「勉強しましたからね。へへへ。
改正によって、個人データを個人情報保護委員会に届け出る義務が新たに課せられたんです。

「そんな面倒くさいことをしないといけなくなったのか…
とにかく、親会社とかグループ会社に個人データを渡す度に本人の同意を得るかオプトアウト手続きが必要なわけだな。」

「そういうことです、社長。もっとも「共同利用」の場合で特定の手続きをとった場合や他一定の場合には本人の同意を得たり、オプトアウト手続きを行うことは不要らしいですよ。」

社長は「共同利用」というものがよくわからなかったため、後で法律事務所に相談しにいくことに決めた。

田中は説明を続ける。

「社長。個人データを第三者と受け渡しする際は、確認・記録義務が課せられるらしいですよ。」

「何を確認して何を記録すればいいんだ？」

社長は次々と「義務」という言葉が飛び出るため、びくびくする。

「例えば第三者から個人データの提供を受けるとき、
個人データを提供してきた第三者の氏名や住所、
法人であれば代表者名を
確認し、記録しないといけないそうです。
確認方法は第三者から口頭で申告を受けたり、
会社のホームページ上の「企業情報」等を見て確認する必要があるそうです。
また、第三者が誰から取得したのか、有償で取得したのかといった第三者の取得経緯も確認し、記録する必要があるそうです。
作成した記録は１～３年間保管しないといけないそうですよ。
なお、我が社が第三者に個人情報を提供するときも、相手方の氏名等の記録義務を負います。」

「もっとも、一定の場合には一括して記録を作成する方法や契約書等で代替する方法も許されているですけどね。」

社長は確認・記録義務について法律事務所に相談しにいくことに決めた。

要配慮個人情報に注意せよ！

「社長。要配慮個人情報なんてものも新たに追加されたらしいです。」

「要配慮個人情報っていうのはなんなんだ？」

「お客様の宗教上の信仰（信条）とか
病歴等（本人の人種、社会的身分、犯罪の経歴、犯罪により害を被った事実等が含まれます。）が要配慮個人情報にあたるらしいです。
うちの会社もリフォームを手掛ける際、お客様から、色々と話しを聞くじゃないですか。
例えばうちはこういう信仰だから、こういった家の構造にしてほしいんだとか、
こういう特定の病歴があって身体が不自由だから
（足が不自由というのみでは該当しませんが、特定の病歴と結びつくことで要配慮個人情報に該当する可能性があります。）、
障碍者でも住みやすい家にしてほしいんだとか。」

「確かにそういった情報を紙に書いて残しておくことはあるな。
そういった情報は他の氏名や住所等の個人データとは違う扱いが必要なのか？」

「はい。
先ほど説明していたオプトアウト手続きはできず、
提供の際には原則としてお客様ご本人の同意が必要らしいですよ。
もっともさっきオプトアウト手続きのところで説明していたように、
共同利用や一定の場合には本人の同意又はオプトアウト手続きを行うことなく要配慮個人情報を提供できるんですけどね。」

最後に

改正個人情報保護法は、事業者に色々なことを要求しているが、
事業者の負担にならないよう例外も多く認めている。
事業者によって、その適用の在り方は大きく異なってきそうだ。

「社長、一応、今日話した個人情報保護法の改正点をまとめておきますね。

１　５０００人以下の個人情報を扱う事業者も「個人情報取扱事業者」に!
２　誰もが簡単に顧客の個人情報を検索できるよう、整理している会社は「個人情報取扱事業者」に!
３　個人情報保護法に違反すると、会社が大きな損害を被るおそれあり。
４　オプトアウト手続きを行う際は、第三者に提供する個人データを個人情報保護委員会に届け出ること!
５　個人データの授受の際は相手方情報を確認、記録すること!
６　要配慮個人情報の提供は原則として本人同意が必要、オプトアウト手続きは使えない。

また個人情報保護委員会が中小企業のために今回の改正をわかりやすく説明するページを用意してくれています。読んでおかないといけないですね。」
⇒中小企業サポートページへ

社長は、お客様の個人データを守ることを強く決意し、中小企業サポートページを読んだ後、法律相談に行く準備を始めた。