中小企業も個人情報保護法の対象!ルールや改正内容をわかりやすく解説

インターネットの普及に始まり、スマホの利用率向上、SNSの種類やユーザーも増えたことで情報の受発信がより簡単になりつつあります。企業もサービスを提供する過程で個人情報を手に入れる機会が増え、便利になる反面、その取扱いには慎重にならなくてはなりません。そこで、まずは「個人情報保護法」への理解が必要です。ここでは、個人情報保護法の基本を解説し、改正に関しても言及していきます。

目次

個人情報保護法とは

個人情報保護法は個人情報に関する他の関連法令の基礎になる法律です。そのため、プライバシー保護等の措置を取るうえでもまずは同法の理解が欠かせません。

個人情報保護法の用語説明

同法における「個人情報」は、第一に、生きている者の情報でなければなりません。さらに、特定の者であることを判断できるものを指します。そのため、単なる血液型だけのデータがあったところでそれは個人情報とは言えません。しかしながら、注意が必要なのは「他の情報と照らし合わせて特定個人を判別できるものであればそれは個人情報になる」ということです。

非常に幅広い情報が個人情報に該当し得ますが、取扱いにおいて特に重要な意味を持つのが「要配慮個人情報」です。こちらは入手する上で、原則、本人の承諾が必要です。

具体的には前科や病歴など、不当な偏見や差別が生じないよう配慮が必要なものが該当します。その他以下なども要配慮個人情報です。

  • 社会的身分
  • 信条
  • 人種
  • 身体傷害があること
  • 健康診断の結果
  • 調剤情報
  • 刑事手続にかかったこと

なお、金融分野ガイドラインで定義されている「センシティブ情報(機微情報)」は、労働組合への加盟や門地、性生活、本籍地など、さらに取扱いを厳格な取扱いが求められる情報群となっています。

適用対象はすべての「事業者」

データの流通が激化したことに伴い、同法は近年頻繁に法改正がなされています。そんな中、平成29年5月30日からはすべての事業者に同法が適用されていますので、企業の規模も問わず同法に従う必要があります。

ただし、適用除外となる例外規定も設けられています。報道のため、著述のため、学術研究のため、宗教活動のため、政治活動のためであれば、放送機関・大学・宗教団体・政治団体には同法の適用対象外になる旨規定されています。

そのため、テレビで被害者や容疑者等の氏名が公開されるのも同法上の問題はないとされています。

個人情報保護法ガイドラインとは

適正なデータの取扱いをする上では、関連法令やガイドラインの体系をイメージすることが重要です。なぜなら、同法は「あらゆる分野における土台としてのルール」であるとともに「民間分野におけるルール」を定めるもので、公的機関にはそれぞれに別の法令、そして民間でも業界に応じたガイドライン等が策定されており、一聴すると複雑に構成されているように感じるからです。

そこで、下図を確認しましょう。体系が理解しやすくなります。

出典:個人情報保護に関する法律・ガイドラインの体系イメージ|個人情報保護委員会

ここにあるように、ガイドラインは同法に則った運用をさらに詳細に、より実態に即した形で実行するために策定されています。

個人情報保護法ガイドライン」でも、その目的として「事業者の適正な活動を支援すること」などと定められています。法律だけであらゆるパターンに対応することは難しいため、ガイドラインとして細かな運用方法等を策定しているのです。

なお、「個人情報保護方針」はガイドラインとはまったく異なる性質を持つものですので混同しないように注意しましょう。

個人情報保護方針は企業単位で定めるもので、内部統制や、運用方法を対外的に示すために策定されます。

個人情報保護法の改正

最後に、令和2年の改正個人情報保護法に関しても触れておきます。

以下が改正法の概要の一部です。

  • 利用停止や消去などの請求権の要件を緩和
  • 情報漏洩により個人に被害がおよぶおそれがあるとき、委員会への報告と本人への通知を義務化
  • 企業の自主的な取り組みを促すため、現行制度に加えて、特定分野における認定団体制度も整備していく
  • イノベーション促進を目指し、「仮名加工情報」を創設、一定要件の下、利用停止請求等の義務を緩和
  • ペナルティを強化(懲役の期間の伸長、罰金額の増加、法人重科)

もう一つの問題は、いつから適用になるのか、ということですが、改正法は令和4年4月1日が施行期日として設定されています。ただ、一部の規定は令和3年10月1日とされていますし、法定刑(ペナルティ)の引き上げに関しては令和2年12月12日から施行されています。

今後はこの改正法に事業者が対応していけるよう、政府でもガイドラインや規則等を整備するなど、各種取り組みを実施していくとされています。

同法に関しては3年ごとの見直しが予定されていますので、その時々の状況に応じて、より実態に見合ったルールが定められていくことでしょう。事業者は年々変化していく個人情報保護法への対応に遅れないようにしなければなりません。専門家に相談をするなどして、適正な運用が実施できるよう体制を整えましょう。