個人情報の管理がずさんな企業は、取引先からも、一般消費者からも信用を失ってしまいます。そこで、本記事では、個人情報保護法に従って企業が取り組むべきことや、同法に違反した場合どのような罰則が適用されるのか、解説していきます。
目次
個人情報保護のために企業が取り組むべきこと
企業は個人情報保護方針やプライバシーポリシー、社内規定といったルールをしっかり定めておかなくてはなりません。その上で従業員への教育や、具体的なデータの取扱い方法を考えていくことが大事です。
個人情報保護方針の策定
「個人情報保護方針」は、その企業が個人情報をどのように扱うのか、その取決めがまとめられたものになります。
ルールの大枠であり、
例えば個人情報の取得に関して「個人情報の取得は、適法公正な手段によって行う。」といった内容を定めたり、
その利用に関して「利用目的をできるだけ特定して、明らかにする。」と定めたり、
基本的な方針がここで示されます。
そのため、どのようにして適法性公正性を実現するのか、企業の具体的な管理体制や運用方法まではここで詳細に記載はされません。
策定した内容が他の企業の内容と似ていることもよくありますし、その内容だけを見て当該企業が適切な運用をできているかどうかまでは判断できません。
しかしながら、この個人情報保護方針を基にして様々な取り組みが定められていきますので、策定されていること自体は非常に重要です。
ここで定めておくべきこととして以下の事項が挙げられます。
- 取得に関すること
- 利用に関すること
- 第三者への開示や提供に関すること
- 安全管理措置に関すること
- 個人情報の開始や訂正、利用停止に関すること
プライバシーポリシーの策定
Webページの閲覧をよくしている方であれば見かける機会も多いかと思いますが、個人情報保護方針に似たものに「プライバシーポリシー」があります。
これは個人情報保護方針よりも広い意味を持ち、より自由な内容がここに記載されます。SNSの利用に関するルールなど、企業によってやや個性が出てくるところでもあります。
また、企業でなくともWebページ上に専用のページが設けられていることは多く、より大衆向けに、プライバシー保護に向けた方針を策定したものであるといえるでしょう。
個人情報保護に関する社内体制、規程の整備
上の2つは外部の人に見てもらうことを想定したものですが、より具体的な対応を定めた社内規定も用意しなければなりません。
取得した情報の運用に関して定めた取扱規定を見直し、契約書のひな形の内容や、第三者提供をしたり受けたりしたときの記録様式の見直し、従業員に対する監督体制の見直しなども行いましょう。
個人情報保護法は何度も改正がなされていますので、改正が行われるたびにその内容に即したものとなるよう、見直しをしなければなりません。改正法を踏まえて各種規定からマニュアル、契約について考え直さなくてはならず、これができずに違法状態が続くと、後述する刑事罰を科されるおそれもあります。
そこで重要なのは、①専門の委員会を設けることや②相互牽制ができる体制を整えることで、また、③外部の専門業者に依頼してチェックを受けることも有用でしょう。
人材に余裕のない企業であれば新たな組織の構築や人員配置は難しいかもしれませんので、その場合には比較的相性の良い既存委員会に個人情報保護に関する活動を付加するなどして対応しましょう。
相互牽制を機能させるためには、たすき掛けによる人事が有効的です。
例えば、1人が複数業務の責任者になるのではなく、個人情報の管理の責任者とセキュリティ管理の責任者を分け、1つの役職を複数人で担当するといったやり方です。
ことにより少人数でも牽制の機能を発揮させることが可能です。
外部の業者に依頼してチェックしてもらえば迅速な対応ができますし、コスパも良い取り組みといえるでしょう。
自社にノウハウがまだない場合には、まずプロに相談し、状況をチェックしてもらうだけでなくルールの策定や体制整備といったことのアドバイスも受けると良いです。
特に近年注目されているマイナンバーに関する取扱いや、第三者提供、とりわけ外国への第三者提供では違法とならないよう注意が必要です。
個人情報保護に関する社員研修
ルールを定めることに加え、従業員が個人情報保護に対する意識を高めることも大事です。
何のためにルールに従っているのか、遵守しないとどうなるのか、これを各々が理解することでより運用の質を高めることができるでしょう。
外部の業者が研修を実施していることもありますし、社内で勉強会を開くのも良いです。
また、個人情報保護士や個人情報保護法検定、マイナンバー実務検定試験など、
関連する資格や検定もありますので、これらの取得を支援する制度を設けても良いでしょう。
Pマークの取得
一定の信頼を得るために、「Pマーク」の取得を検討しても良いです。
Pマークは「プライバシーマーク」のことで、事業者が個人情報を適切に扱っているかどうかを審査し、認定する制度に基づいて付与されます。
日本工業規格の個人情報保護マネジメントシステムの内容に従い、審査機関が客観的に評価を行うことになります。取得までに労力はかかりますが、その過程で社内整備が進められますし、消費者からも信用してもらいやすくなります。
個人情報保護法違反による罰則とは
個人情報保護法に背いた場合、刑事罰が科されるおそれがあります。
しかも令和2年12月12日からは法定刑が引き上げられています。主に以下の内容です。
- 個人情報保護委員会の命令への違反
- 行為者は1年以下の懲役または100万円以下の罰金
- 法人等には1億円以下の罰金
- 個人情報データベース等の不正提供をした場合
- 行為者は1年以下の懲役または50万円以下の罰金
- 法人等には1億円以下の罰金
- 個人情報保護委員会に虚偽報告をした場合
- 行為者は50万円以下の罰金
- 法人等は50万円以下の罰金
従来、委員会からの命令に背いた場合、行為者には6ヶ月以下の懲役が予定されていましたが、これが「1年以下」に伸びています。
また、法人等に対する罰金も30万円以下とされていたものが「1億円以下」になるなど、相当に重い処罰が予定されることとなったのです。
そのため、企業は個人情報の取扱いに関して安易に考えず、しっかりと規定等を定め、適正な運用がしていけるようにしなければなりません。個人情報保護法に関してはこちらのページでも解説しておりますので、参考にご覧ください。