ITコーディネータ システムアナリスト 西川雅樹のホームページ

【エピソード 9の0】
個人情報保護対策実践講座(イントロダクション)

【2017/04/15】

少しひさしぶりの個人情報保護ネタになります。

この2カ月で当ホームページ全体で15000のアクセスがあった(のべ9500人が74000ページを閲覧)うち、前記事である エピソード8「法律違反状態に身を落とす前に個人情報保護対策を!」 の閲覧は342回でした。
個人情報保護ってたしかに地味というかどちらかいうと一般的に避けて通りたい話題に位置づけられる気はしますけど、問題意識があるセグメントの割合ってそんなものかなぁ、どんどんアクセス減ってるし(汗)・・・・と改めて少し残念に思っているところです。
エピソード8記事閲覧件数

そうはいっても自分なりに重要性を感じているテーマであり、前回概念的なお話はしたものの具体どうすればいいのか、というところまで踏み込めなかったのが心残りでもう少し掘り下げてみる気になりました。

個人情報保護法は個人情報の上手な利用を推奨する法律である

その前にクドいですが、前回も書きましたけど個人情報保護法が個人情報の収集や利用を制限する法律だという思い込みは全くの誤解で、むしろ

個人情報の上手な利用を蔭ながら推奨している

ということは改めて強調したいと思います。

個人情報保護法というのは個人情報の活用を奨励している法律だ、と断言してる人間は多分まだ日本で指折り数えられるほどしかいないと思いますが、改正法文の「第1条 目的」あたりは明らかにそういう意図で書き直されているし、ポジティブに理解して乗っかっていくことでチャンスとして活かしていくべきだろうと思うのです。

つまり個人情報を節度を持って最大限活用することでもっとお客様に喜んでいただける商品やサービスの提供の仕方をし、より多くのご褒美をいただける良いビジネスを目指すべきなんですね。

特に消費者相手のビジネスであれば、お客様のニーズを予測してお声掛けをすることでご来店いただいたり、お客様のニーズに合わせてサービスをチューニングして満足感を高めることは比較的実行しやすくて、そうすることでお客様にますますご贔屓いただいてファンになっていただきお店の繁盛にもつながるわけです。
そのためにはお客様のことを良く知って、それ、つまり個人情報を有効利用できなければいけませんし、個人情報を適切に取り扱えないと逆にお客様から失望されてしまいます。

残念ながら宮城ではマインドも危機感もそれほどでもない経営者が少なからずいて、個人情報活用にしても経営にしても積極的でレベルも高い東京の会社に喰われて地元資本の事業はじわじわ衰退しているのが実態です。

変化やピンチはチャンスだと考えて、この変化をどうお客様と自社のために活かすか考えてほしいし、できることならそのお役にたちたいものです。

この個人情報保護対策実践講座の中身とその背景

そうはいいつつも個人情報の活かし方はビジネスによって様々で効果的な個人情報利用のしかたについてのコメントはここではしづらいので、今回は法に抵触しない遵法事業者でいるためにどうすればいいか、最低ラインをクリアすることを考えてみたいと思います。
最低限法に抵触しない程度の取り扱いができないようでは、そもそも個人情報を有効活用した商売繁盛なんておぼつかないですからね。

内容としては
・個人情報保護方針の作り方
・規程や業務手順書の整備のしかた
・保護対策義務(小規模事業者)として実施すべき対策例
といった手引きにするとして、今回このイントロ記事はなぜそういう方針にしたかバックグラウンド的なお話です。

前記事であるエピソード8「法律違反状態に身を落とす前に個人情報保護対策を!」に書いたように改正前は5000人超えの個人情報(正確には個人データ)を保有する事業者が法の対象でしたが改正後はその条件が撤廃され、

個人情報(正確には個人データ)を扱うすべての事業者が法の対象

となりました。
厳密には個人データ所有の有無で法適用の有無が決まるのですが今どき個人データを所有していない事業者はいないでしょうから、全ての事業者が法の対象になると言いきっても大丈夫でしょう。
事業者には、会社や商店のほか、個人事業やNPO、各種協会や法人・組合、市民団体などのほかにも、町内会、同窓会、サークルやボランティアグループ、異業種交流会などの任意団体もあまねく含まれて規制対象になり、アパートの大家さんだって法の適用対象になります。

注)個人データ:個人情報データベース等を構成する個人情報
注)個人情報データベース等:個人情報を含む情報を体系的に構成した集合物(パソコンのデータファイル、紙名簿、五十音順の名刺の束など)

中小企業向け 個人情報保護法の5つの基本チェックリスト (平成29年2月)表

中小企業向け 個人情報保護法の5つの基本チェックリスト (平成29年2月)裏

そうはいっても、数百万人の個人情報をデータベースにして活用している大企業も十数人規模の名簿を事業に使っている零細事業者も同じ規則を適用するのはあんまりだろうということで、義務付けられる対策内容は規模によって濃淡が付けられることになりました。
少し厳密な表現ではないですが、具体的には従業員の数が100人以下でかつ扱っている個人データの件数が5000件以下で、個人情報処理業務を受託していない事業者は義務が軽くなります。

それら濃淡の線引きや義務の内容・塩梅は法文には記述されていなくて、実は「個人情報保護に関する法律についてのガイドライン(通則編)」という文章で解説されています。
個人情報保護委員会 > 個人情報保護法について > 中小企業サポートページ ページ下部 関係資料

ちなみに医療介護分野、金融信用分野、情報通信分野の事業者は保有する個人情報内容がディープだという理由で、一般産業分野と異なるハードル高めのガイドラインが運用されるようです。

ここで重要なのは、

個人情報保護に関する法律についてのガイドラインで「・・・しなければならない」と書かれていることは、ガイドラインと言う文書名ながら実質的に法義務そのものだ

ということです。
ガイドラインに書かれていることをしなければ明らかな法律違反になるのです。

そこでガイドラインで自分がやるべきことを見出しそれを実行する、ということになるわけですが、ナリユキマカセで単発的にやったり組織内に浸透しない状態のままでは社会通念上対策したとは認めてもらえなくて、自分の組織(個人事業を含む)でやるべき対策・守るべき手順をルールブックつまり規程として文書化する必要があります。

規程の整備が対策を進めていくうえで大前提・第一歩

なので、当講座記事では中小事業者義務をどう規程に整理していけばよいのかを説明することにしたのです。

だいたいこういう場合は理念や方針を定めた基本方針文章がトップにあってその下に個別規程類を作り、さらに実務に使いやすい形で業務手順書を作る、という3層文書体系を作るのが一般的というかもっとも合理的な進め方になります。
ISOなどでは業務手順書の下に記録が加わって4層構造にしたり、層の切り方を細かくして5層で運用したりするのはご承知の通りです。
個人情報保護ルール文書体系

ちなみに2017/04時点でネットで探すと個人情報保護に関する規程の雛型と称するものがいくつか見つかるのですが、どうもヘボいというかわかっていない仕上がりで実用に堪えないので、自分もそのうち雛型も作りたいなぁ、とか思ってるんですけどね。

to be continued・・・

(エピソード9-0 おわり)

↑トップ