2017年5月30日に改正個人情報保護法が全面施行され、 1名分でも個人情報を所有している場合には、 法人・個人を問わず「個人情報取扱事業者」となり、 個人情報保護法に則って、安全にかつ適切に個人情報を扱っていくことが求められます。
また、個人情報の定義も明確化され、個人情報の中でも「要配慮個人情報」や「特定個人情報(マイナンバー)」は、取り扱える担当者を明確にし、他の者が扱えないように運用していかねばなりません。
社員の個人情報であっても例外ではありません。それぞれの情報を誰がどのように扱っていけばよいのか、採用、健康診断、退職時等の場面で注意すべきことがあるのか等、 整理をしておくことが大切です。改正個人情報保護法の施行により求められる対応について、人事担当者として知っておくべきことをご案内いたします。
改正のポイントと事業者に課せられる義務
個人情報保護法は、個人の権利・利益の保護と個人情報の有用性とのバランスを図る基本理念のほか、民間事業者の個人情報の取扱いについて規定された法律です。保護するためとして、目的外の利用を制限するとともに、十分なセキュリティを確保することを義務付け、一方、個人情報を有用に利用する場合には、利用目的を対外的に明らかにすることで不適切な利用を排除していくことを目的としています。
2017年5月30日、改正個人情報保護法・番号利用法(改正前は番号法)が全面施行されることとなりました(下図参照)。
これにより、それまで個人情報保護法の適用とならなかった小規模事業者も従業員を雇用していたり、取引先や顧客の情報を持っていたりすれば、個人・法人、営利・非営利の事業であるかを問わず、「個人情報取扱事業者」として法令等に則って、安全かつ適切に個人情報を取り扱っていくことが求められます。
具体的な改正のポイントは以下のような点です。
(1)個人情報保護委員会の新設
個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化
(2)個人情報の定義の明確化(具体例は下図を参照)
- 個人情報の定義に身体的特徴等が対象となることを明確化
- 要配慮個人情報(本人の人種、信条、病歴など不当な差別または偏見が生じる可能性のある個人情報)の取得については、原則として本人同意を得ることを義務化
(3)個人情報の有用性を確保するための整備
匿名加工情報の利活用の規定を新設
(4)いわゆる名簿屋対策
- 個人データの第三者提供に係る確認記録作成等を義務化
・提供を受ける側の義務 提供者の氏名、個人データの取得経緯を確認
その内容の記録作成と一定期間の保存 ・提供する側の義務 提供年月日・提供先の氏名等の記録作成と保存
- 個人情報データベース等を不正な利益を図る目的で第三者に提供し、または盗用する行為を「個人情報データベース提供罪」として処罰の対象とする
→1年以下の懲役または50万円以下の罰金
(5)その他
- 取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度を廃止
- 第三者提供を利用目的とする場合で、オプトアウト規定を利用する場合は個人情報保護委員会に届け出ることを義務化、委員会はその内容を公表
- 外国にある第三者への個人データの提供の制限、個人情報保護法の国外適用、個人情報保護委員会による外国執行当局への情報提供に係る規定を新設
- 認定個人情報保護団体の活用(平成28年1月現在、42団体 個人情報保護委員会HPに掲載)
- 開示、訂正、利用停止等について裁判による救済請求の権利があることを明確化
人事・総務部門においては、自社の個人情報の取扱いについて改正法への対応に不十分な点がないかを確認し、不足している部分は早急に対応策を講じていかなければなりません。何も対策を講じないで、万が一個人情報の流失・漏えい事故等が起きてしまったら、会社の社会的信用の失墜にもつながり、事業への影響は計り知れません。
個人情報は資産価値のあるもの、つまり情報資産です。会社として必要があって取得しているものとはいえ、個人から資産を預かっているとの認識を持ち、自社で扱わなければならない個人情報の重要性を全従業員に認識させていくことが大切です。
次のページへ