【エピソード 8】
法律違反状態に身を落とす前に個人情報保護対策を!
■■ 後続記事公開 2017/04/15
■■ 【エピソード 9-0】
■■ 個人情報保護対策実践講座(イントロダクション)
【2017/02/18】
「貴社・貴店は法律違反事業者になるかもしれません。個人情報保護法の改正全面施行(2017年5月30日)に備えてますか? 」
という言いまわしは少し煽りすぎかもしれません(汗)。
日本には中小企業(個人事業や小売店舗などを含む)が380万事業体(2014年7月時点)あってそのほぼすべてが今回の改正で法の新規適用事業者になり、九部九厘適切な対応がなされないまま津々浦々法律違反事業者が溢れかえる状態に陥るのは相当に現実味のあるお話です。
幸いなことにというべきか、貴社・貴店含め法対応が不十分だったからといって片っ端からイキナリ懲役や罰金、営業停止を食らうことはありませんし、もし不幸にも漏えい流出事故を起こしてもそれですぐに刑事罰を食らうわけでもありません。
注)不正な利益を得る目的で個人情報を提供盗用(名簿屋に売り飛ばすとか)した場合には即刑事罰を喰らいますけどね。
とはいえ皆で違反すれば怖くないとばかりに何もしないでいると、いつの日かとんでもない不幸(炎上とかバッシングとか倒産とか)が起きる可能性はリアルにあるのです。
その一方で、ピンチはチャンスとか変化はチャンス、というような言い回しがあるように、法改正という環境変化を今まで以上にお客さんにご贔屓いただけるようになるための梃子として活かす方法があるかもしれません。
当ページをご覧いただき、社長さんや店主さんはどうすればよいのか是非ご自分なりにお考えになって適切な対応を取っていただきたいと思いますし、そうでないかたは是非ボスにこの記事を見せてあげてください。
当ホームページでは少数派なマジメな話題です(爆)
なお、理解しやすいようにお話を少しダイジェストにしていますけどホントは個人情報保護法ってもう少し複雑なので、あくまでもそれを念頭に置いてご覧ください。
理解促進の足しになりたいほぼ社会貢献のつもりで作ってる記事なので、端折りが多くて多少仕上がりが甘いのはご勘弁願います。
西川@宮城県仙台市
保護法の前に
まずは個人情報保護法の立法の背景ってどういうものなのか簡単に。
そもそも・個人情報保護法のホントの意図
個人情報保護法はどうも
「個人情報の収集や利用を制限する法律だ」
と思われているきらいがありますが、実はそれは
全くの誤解
です。
個人情報保護法文の第一条には、
個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
という文言があります。この法律を作ったヤツがホントは何を言いたいのかというと、
個人情報は上手に使えばとても役に立つから、分別わきまえて上手に大切に有効活用してね
ということなのです。
でなきゃワザワザ法律に、「個人情報の有用性に配慮」なんて書きっこありません。
くれぐれも言います。
個人情報保護法が個人情報の収集や利用を制限する法律だという思い込みは全くの誤解!
むしろ個人情報の上手な利用を蔭ながら推奨している
のです。
そもそもなぜ個人情報保護法なんてものができたのか
細かいことは端折りますけど、要するに世の中のIT化が急速に進み大量の情報を簡単に取り扱うことができるようになったため、誰もが個人情報を悪用されて詐欺やストーカー行為、プライバシー侵害などの犯罪に巻き込まれる危険性が高まったからなのです。
インターネット通販などとても便利なサービスがご利用を待ってウズウズしているのに、個人情報がダダ漏れで犯罪に使われ放題だったりすると恐ろしくてだれも使わなくて世の中が活性化しないじゃないか、というのが制定にいたった問題意識なのです。
個人情報保護対策するのは面倒クサいけど、かといって自分の個人情報が雑に扱われて漏えいして犯罪に使われたりするのはイヤですよね。
個人情報保護法の主な改正点
詳しく説明するのは面倒だし読む気も失せるのでごく大づかみで保護法の変更点を説明しますが、あくまでもざっくりなのでこれで完全理解できたとは思わないように。
個人情報ってナニ?
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
というのが改正前の定義でした。
何が該当で何が非該当か細かいところの例示したらキリがないのですが、
たとえばお店や会社をやっていたら従業員や取引先担当者、お得意先様を識別しないといけないし、外出すればなんやかやと名刺交換したりするので、仕事してたら個人情報まみれだと思えば間違いないでしょう。
今回の改正ではこれに加えて
「個人識別符号」
が個人情報だと定められました。
身体の一部の特徴を変換した符号、又はサービスの利用・商品の購入若しくは書類に付される符号(具体的には、指紋データや顔認識データ、旅券番号、免許証番号等)だとされています。
いっぽうで、電話帳や市販名簿やカーナビゲーションシステムに収容された個人情報といった、いつでも誰でも購入できものについては、それを加工せずそのまま使う限りは規制を受けません。
今回の最大の改正点
改正のきっかけはいうまでもなく個人識別符号であるマイナンバーの制度化です。
中小零細・個人事業でも給与支払いとかにマイナンバーを使うことによって社会保証制度を一元化していくためにはマイナンバーを安心して使えなければいけなくて、言いかえれば中小零細・個人事業者でもそれを安全確実に運用できないといけませんので、マイナンバーを個人情報と位置付けてそれなり厳格な取り扱いルールを定めるのは自然な流れと言えます。
そのため、改正前だと5000人分超えの個人情報を保有する事業者に対して課せられていた個人情報取り扱いに関する義務が、個人情報を事業で使うすべての事業者に拡大したのも自然な流れです。というか小規模事業者はこれまでは義務免除されてただけなんですけど。
マイナンバー(その他個人識別符号)を個人情報と位置づけたこと
個人情報を事業で使うなら情報の多少にかかわらず法の適用対象としたこと
が、今回の改正のポイントです。
ぶっちゃけ、町の食事処だろうが呑み屋さんだろうが、ペットショップだろうがフードコーディネータだろうが、整体師さんもパン屋さんもNPOも農家もネットショップも湯治宿もむろんしがないコンサルだってみ~んな、法の対象になります。
くれぐれも小規模な事業者はこれまで義務を免除されてただけなんですよ、実は。
著述業、宗教団体、政治団体などのそれぞれの活動に使う個人情報は対象外です、なぜって日本国憲法が言論・信教・政治活動の自由を認めてるから。
ほかに厳格化されたこととして個人情報の第三者提供に関する手続きがありますが、一般的な事業で第三者提供をすることはまれだと思うので、ここでは簡単な説明にとどめます
※ダイレクトメールの製作を頼むとか個人情報の加工を外部委託するのは第三者提供には該当しないとされています。警察の捜査に協力するとか、個人情報の提供が他の法律で義務付けられているような場合も、第三者提供にはあたりません。
※今回の改正で要配慮個人情報と位置づけられた病歴とか人種信条などの個人情報は、取り扱いに格別の配慮が必要となりますが、ここでは説明は割愛します。
法規制の対象者
もういちど念押しですけど、
営利非営利関わらず、個人情報を事業活動に利用している者は基本的にあまねく全て法の規制対象
です。
たとえばPTAとか学級名簿とか同窓会名簿とか、
互助目的に作られ使われる名簿のための個人情報についても今回の改正で法の適用対象となります。
先に述べたように著述・宗教・政治活動などは対象外です。
法が定める義務をかいつまんで
厳密には個人情報といっても、
単なる個人情報と、
個人情報データベース等(個人情報をまとめて整理した名簿とかデータファイルのようなもの)と、
個人データ(名簿とかデータファイルの中身のそれぞれの個人情報)と、
保有個人データ(個人データのうち事業者自身に所有権があるもの)
の4種類があって、それぞれ義務の内容が異なります。
なお防犯カメラ映像とか入退出記録とか来訪者記録といった、保存期間が半年以下のものは保有個人データにはあたりません。
・・・そろそろ脳味噌ピンチになりそうですね。
なので以下は個人データだ保有個人データだの違いはあえて無視して、乱暴だけど個人情報という言葉で統一しちゃいます。
注)くれぐれも、正確なニュアンスとはちょっと違うことは了解ください。
個人情報の利用目的を本人に伝えてください
個人情報を利用するためには、あらかじめ利用目的を具体的に定める必要があります。
(新商品やお店の営業情報をご案内するためとか、商品をお届けするためとか)
個人情報を教えてもらう時には、上記利用目的を本人に伝えるか、あらかじめホームページとか店頭掲示で公表しておく必要があります。
利用目的が明らかな場合はその限りではありません(配達伝票にお名前・住所を記載していただくのは配達するために使うことが明らか)
・・・納得の上で自分の個人情報を使ってもらいたいですよね
決めた個人情報の利用目的から無断で逸脱しないでください
個人情報は定めた利用目的の範囲内でしか使えません。
(商品をお届けするためにお聞きした住所に了解なくダイレクトメールを送ってはダメです)
利用目的の範囲を越えて利用する場合は、あらかじめ本人の同意を取らなければなりません
・・・自分が希望しない使い方をされたらイヤですよね。
名簿化したりデータファイル化した個人情報は安全に管理してください
いわゆる情報セキュリティ対策を行ってください。
(コンピュータデータファイルであればパスワードを設定したりウィルス対策ソフトをインストールしたパソコンに保管したり、紙名簿はキャビネットなどに入れて鍵をかけたりする)
社員が不正に流出させたりしないよう監督・社員教育をする
などなど
・・・粗雑に扱われるのも危険にさらされるのもイヤですよね。
個人情報を他人に渡すためには本人の同意をとってください
個人情報を第三者に渡すためには本人が明示的に了解することが必要です
例外はあります。
法令に基づく場合(警察の捜査への協力など)
人命にかかわるような場合で本人同意を取るのが困難(ひき逃げされて意識不明な友人の名前を救急隊員に伝える)
他社と業務委託契約を交わして預ける(ダイレクトメール発送を外注して名簿データを貸しだす)
など。
・・・勝手に売り飛ばされたりしては嫌ですよね。
本人からの問い合わせ等に適切に対応してください
情報の本人から内容照会や訂正などを求められたらちゃんと応じましょう
・・・そりゃごもっともですよね
法が課す義務って・・・
他人に自分の個人情報が使われる時をイメージしながら読むと、結構あたりまえなことが義務化されているだけなことがわかります。
ざっくり説明するとこんなところですが、でも具体的にどうするのか、どこまでやれば法をクリアしたと言えるのか、という話になると、いったいどんな個人情報があって、どんな保管状態で、どのように使われているのか、それぞれ事情が異なりやらなければいけないことも変わってくる、というのが実情です
とくに難しいのが安全管理で、正直いって保護対策のプロでもこれで大丈夫、と言い切ることは難しいのですが、素人さんならなおさら、生兵法は怪我のもとにならないよう注意する必要があるでしょう。
それはそうと法を守っていても安全といえないというお話
え?どうして?と思うでしょ、実は法律が求める個人情報保護は最低限の義務です。
しかし昨今ではたとえばコンピュータウィルスは毎月2万種類の新種が出てくると言われていて、それらすべてからコンピュータを防御するだけの安全対策を法律が求めたら、とてもじゃないがお財布が持ちません。
個人情報の漏えい流出のリスクは時々刻々と高まっている一方で法が求めるのはほんの最低限レベル、なので
個人情報保護のプロは、本気で個人情報を守りきれるなんてこれっぽっちも思ってないんです、実は。
ここが個人情報保護の特徴的なところで、でも適切に対策を行えば
それほど費用をかけることなく、対策しない場合に比べて事故発生確率を何千分の一とか何万分の一とか、とにかく比較にならないくらい安全にできる
のです。
にもかかわらず保護対策をしていないと万が一事故が起きた時、事故を起こしたこと自体よりむしろ保護対策をやっていなかったことを責められます。
誰に責められるかというと警察やお役所ではなく、皆さんのお客さんからです。
自分たち(=お客さん)の個人情報が粗雑に扱われて、そのために自分たち(=お客さん)は詐欺やストーカー行為、プライバシー侵害などの犯罪に巻き込まれかねない状態に曝されている、どうしてくれるんだ!
と非難されるのです。
このページのはじめの方で、何もしないでいるといつの日かとんでもない不幸(炎上とかバッシングとか倒産とか)が起きる、といったのはそのことです。
もしかしてひょっとすると、商売仇があの会社(皆さんの会社)は個人情報保護をやってないから、いつか事故を起こすヤバい会社だ、と悪意に満ちたうわさを流して皆さんの邪魔をしてきたりするかもしれませんけど、もしそれがもとで炎上しても反論も反撃もできないですよね、なにしろ事実なんだから(汗)
個人情報保護法が改正されると、もしも小規模でも漏えい・流失事件など起こそうものならマスメディアの良いカモというか、面白がって寄ってたかってケナされたりしかねないのです。
お客さんから失望され見放されて経営を続けることはほとんど不可能でしょう。
なぜお客さんから失望され見放されるかというと、お客さんは保護対策をやっていなかったこと、お客さんの個人情報を大切に守る努力をしなかったことに激しい憤りを感じるわけです。
逆にいえば、もし不幸にしてお客さんの個人情報を漏洩流出してしまったとしても、完璧ではないにせよそれなりベストを尽くして保護対策しておれば、お客さんの立腹はそれほど激しくはならないでしょう、なにしろそもそも完璧な対策を行うのことが不可能なのは自明なのですから。
ちなみにこれも前述しましたが、対策しなかったとか漏えい流出事故を起こしたからとか、そういう理由ですぐに罰則を食らうわけではなくて、事故後の改善勧告とか指導とかを無視して逆らってゴネまくってはじめて懲役罰金刑を食らいます。
でもそれ以前に、それくらい話がこじれていたら、とっくの昔にお客さんが離れていってしまい看板下ろさざるを得ない状態になってるでしょうけど。
個人情報保護の根っこにあるのは、
お客さんと今まで以上に良い関係でいるために、ますますご贔屓していただくために、お客様の個人情報を分別わきまえて大切丁寧に取り扱いましょう
という至ってあたりまえなメッセージなのです。
安上がりで美味しい個人情報保護法対策の秘訣
ここまで読まれた方、じゃいったいどうすればいいんだ?と途方に暮れていることでしょう、お察しします。
個人情報保護っていうのは多くの方にとってわかりにくくて手間そうなのに不安ばかり先行するので、なかなか浸透普及しないんだと思います。
自分が思うには、やるべきこと・やりたいことは3つあってひとつ目は文字通り保護法対策、つまり法律違反状態にならないためのアクションです。
最低限やるべきこと、個人情報保護法対策
結論を言いますと、まず保護法対策、つまり
法律違反状態にならないための対策はプロに手伝ってもらうのがベスト
です。
法解釈ってけっこう難しくて意味を取り違えて誤った対策をしても無駄ですし、特に安全対策に関しては前述したように持っている個人情報の量や項目、今の保管のしかた、利用内容など、千差万別で一概にこうすればいい、という必要十分な対策というのがありません。
個人情報保護を統括するお役所(個人情報保護委員会)では「小規模の事業者における特例的な対応」というガイドラインを発行して、このなかで具体的にどのようなことをやれば安全管理していると判断できるか目安を公表する予定です(2017/02時点では未発表)が、十把一絡げに決めたガイドラインでは実情に合わない事例が必ず発生します。
ガイドラインを鵜呑みして自社実情に合わない対策をしていてもし事故が起こったら、事故を起こした責任は最低ラインに過ぎないガイドラインを盲目的に信じた事業者さんにある、ということになってしまい結局皆さんが責められるのです。
プロだからといって100%保証は出来ませんし責任を負うことはできませんが、ちゃんとしたプロならいわゆる相場感を持っているので、満点とは言わなくとも合格点がとれる対策案は示して実装のアドバイスをしてくれるでしょう。
そうはいっても中小企業主さんたちは客観的正確に個人情報保護法対策の仕事の内容の価値を評価できないでしょうし、こういう分野のプロ(と呼ばれる人たち)はお客さんの恐怖心をあおって金を巻き上げるアコギな輩が少なからずいるし、だれに頼めばいいんだ?というお話になります。
で、多少なりともそういうプロ達の人となりを知っている人に紹介してもらうこと、平たく言うと
お近くの商工会、商工会議所、あるいは各県の中小企業支援センターに相談して専門家を紹介してもらう
のがお勧めです。
公的中小企業支援機関には必ず専門家派遣制度という仕組みがあって、無料ないし格安で1回~数回、いろいろな経営分野の専門家を派遣してくれるのですが、まずはそのサービスを利用して方向性なり対策案の検討をするのが良いでしょう。
専門家派遣制度に登録された専門家であれば、事業者側から指名することもある程度可能です。
生兵法は怪我のもとといいますが、少なくとも、素人が必ずしも正しくない法解釈でプロでも容易でない対策を独断でやるのは、おやめになるのがいいでしょう。
注)ただし公的中小企業支援機関にも専門家派遣制度の年間予算があって事業者の要望に応えられないことはあるので、平成29年度の予算執行が開始できる4月までは派遣の実施ができなかったり、秋になったら予算が枯渇してしまう可能性はあります。保護法対策をすぐにはじめるかどうかは別として、まず急いで支援機関と意思疎通を図ることが肝要でしょう。
<PR>
ちなみに当記事筆者のにしかわは、情報セキュリティに関する資格を持ってるし国家試験も合格しているし、過去には某市役所で2年ちょっと市役所職員や外郭団体職員や市役所の業務を受託している事業者さんたちの個人情報保護対策の支援をした経歴があって、はっきりいって個人情報保護対策のお手伝いは得意だったりします。
宮城県内の公的中小企業支援機関ともツナガリがあって、専門家としての登録(仙台市産業振興事業団、みやぎ産業振興機構、商工会議所、商工会連合会)もしているし、支援機関の支援のやり方も良く知っているので、どうすればよいのかアドバイスするなど多少はお役にたてるかもしれません。
もしご相談ご希望であれば、
まで、電子メールタイトルを「個人情報保護対策について問い合わせ」とでもして、お名前、ご所属、ご連絡先を明記の上お気軽にお問い合わせください、ただしお名前、ご所属、ご連絡先等の記載がない場合には迷惑メールと判断します。
さしあたってイキナリ費用請求したりはしませんからご安心を。
できればやりたいこと、個人情報保護対策
ここまでお読みいただいていればだいたいわかるでしょう、
個人情報保護法対策=おおむね法律に抵触しない最低限の対策
とすれば、
個人情報保護対策=お客様の個人情報を分別わきまえて大切丁寧に取り扱うための対策
と1ランクレベルが上がった段階になります。
前述の専門家派遣制度で気心知れて信頼できると思えるようになった専門家に引き続きアドバイスをお願いするのが良いんじゃないでしょうか。
「仕方なしにやっている」対策から一歩進んで、「お客さんと今まで以上に良い関係になるため」の対策をするのだとお考えください
さらにやりたいこと、個人情報活用対策
個人情報保護法が事業者に何を期待していたか思い出してください。
個人情報は上手に使えばとても役に立つから、分別わきまえて上手に大切に有効活用してね
というのが隠れた法の意図だとしたら、個人情報を安全丁寧に取り扱うだけでなく、
個人情報を今まで以上に有効活用してお客様に今まで以上のサービスを提供して、今まで以上にご贔屓していただける良いパートナーになっていく
というのが、まさに皆さんに求められる個人情報活用対策であり、中小事業者もお客さんも共にハッピーになるための模索です。
個人情報保護だけやったのでは、所詮事業者の手間が増えるだけでお客さんにとって当たり前のことをやってるにすぎずせいぜい現状維持なのです。
さらに個人情報活用対策に踏み込むことで皆さんのビジネスの付加価値を増やして、これまでのお客さんにはファンになっていただき、新しいお客さんにはどんどんリピーターになっていただくような取り組みが求められていくのだろうと思います。
誰に力になってもらえば良いかというとなかなか難しくて、保護対策に関しては個人情報保護法に詳しくて情報セキュリティがわかる専門家ならそれなり対応できたのですが、活用対策と両立させようとするとさらに、マーケティングとかいろんな経営知識やスキルが必要になってきて、おいそれと誰でも手伝えるレベルでなくなってしまいます。
まぁにしかわ自身はそれなりお手伝いできる自信はあるんですけど(笑)まずは保護対策をやりながら、活用を手伝って欲しいと支援機関に相談してみるのがいいかもしれません。
ご参考情報
お役にたつかもしれない情報を少し集めてみました。ホントは個人情報の保管・取り扱い現場を調査分析して対策していく必要があるんですけど。
書籍
専門家にお任せしなさいとはいえまったくの丸投げもいかがなものかと思うし、もう少し詳しく個人情報保護法を知ることも大切なので、いくつか関連書籍をピックアップしてみました。
以下ですぐにネット通販から入手できますので、購入ご検討いただくと良いと思います。
「最新改正対応版 小さな会社の新個人情報保護法―やるべきこと、気をつけること」
セブンネット
e-hon
Amazon
honto
楽天ブックス
Yahoo!ショッピング
「日経文庫 個人情報保護法の知識 (第3版)」
セブンネット
e-hon
Amazon
honto
楽天ブックス
Yahoo!ショッピング
「Q&Aでわかりやすく学ぶ 平成27年改正 個人情報保護法」
セブンネット
e-hon
Amazon
honto
楽天ブックス
Yahoo!ショッピング
「小さな会社・お店の新・個人情報保護法とマイナンバーの実務」
セブンネット
e-hon
Amazon
honto
楽天ブックス
Yahoo!ショッピング
「中小事業者のための改正個人情報保護法超要点整理―大事なことだけ最速で押さえる!」
セブンネット
e-hon
Amazon
honto
楽天ブックス
Yahoo!ショッピング
「すぐに役立つ入門図解 改正対応!個人情報保護法とマイナンバー法のしくみ」
セブンネット
e-hon
Amazon
honto
楽天ブックス
Yahoo!ショッピング
パソコンセキュリティ
いまさらですが、パソコンやホームページのセキュリティ対策はやはり重要です。
ウィルス対策ソフトをいまだに導入していないなんてことはないと思いますけど。
個人情報を取り扱うようなホームページを持っているなら、ホームページのセキュリティ診断サービスを検討してよいかもしれません。
警備
小規模な事務所や店舗であればホームセキュリティの契約を検討してみる値打ちもあるかもしれません。
セコム・ホームセキュリティ
ALSOKホームセキュリティ
セキュリティグッズ
パソコン盗難防止用のセキュリティワイヤとか、書類裁断用にシュレッダーとか個人情報を物理的に保護するための器具類も結構いろいろあります。
あとがき
一般的に個人情報保護の話をするときは、「個人情報保護をしないといつかそのうちとんでもない災難が降りかかってくるぞ」とまるで霊感商法みたいな脅しをかけて金をまき上げるのが常套手段で、自分はそれが大嫌いだったので、ホントはもっと大事なことがあるんだ、ということをお伝えしたくてこの記事を書きました。
この記事が少しでもお役にたてばいいなぁ、と思います。
なお、この記事はリリース後も頭を冷やして見直して文章を修正するかもしれませんし、ちかいうちに続編(対策編)を作ろうかなぁと思ったりしているところです。
関係機関などのリンク
いずれも新タブで開きます
個人情報保護委員会 個人情報保護法の総元締めです
全国の商工会の検索ページ 全国商工会連合会
全国の商工会議所の検索ページ 日本商工会議所
各県の中小企業支援センターの一覧ページ 中小企業庁
仙台市産業振興事業団
みやぎ産業振興機構
仙台商工会議所
宮城県商工会連合会
(エピソード8 おわり)
■■ 後続記事公開 2017/04/15
■■ 【エピソード 9-0】
■■ 個人情報保護対策実践講座(イントロダクション)