トップページ  >  起業する  >  起業マニュアル  >  起業した後  >  個人情報保護法への実務対応

起業マニュアル

起業を思い立ったその瞬間から、実際の起業準備そして開業まで。
起業を目指す人のこんなときどうする?に応えます。
起業した後
個人情報保護法への実務対応

目次

あなたの会社は大丈夫ですか?

「個人情報」とは?

 「個人情報」とは、生存する個人に関する情報で、特定の個人を識別することが可能な情報のことを言います。また、その情報単独では個人を識別できなくても、ほかの情報と照合することで個人を特定することができれば、個人情報に該当します。具体的には、

  • 氏名、生年月日、電話番号、会社における職位や所属
  • 本人が判別できる映像などの情報
  • 特定の個人を識別できるメールアドレスなどの情報

などのことを指します。
 これらの個人情報をデータ化しコンピュータ処理することで、利便性は飛躍的に向上しますが、それと同時に情報が漏えいする危険性も高まっています。一度でも情報が漏えいしてしまえば、データは次々と不特定多数の人に広がる可能性があります。

企業に与えるダメージ

 多数の個人情報を保有する企業において、もし個人情報が漏えいしてしまったら、業務に支障が生じるだけでなく、損害賠償請求といった金銭的損失や社会的信用の失墜といったダメージを負うことになります。

個人情報が漏えいする原因は?

 情報漏洩の原因としては、次のようなものがあげられます。また、当事者に悪意がなくても漏えいにつながるケースもあります。

  • 盗まれたノートパソコンや記憶媒体から情報が漏えいしてしまうケース
  • 会社のパソコンやデータの不正持ち出しによって情報が漏えいするケース
  • Webサイトの不具合で個人情報が外部から閲覧できるケース
  • メールの誤送信によるケース
  • リースで利用したパソコンの返却時にデータを消し忘れてしまうケース
  • パソコンが知 らないうちにウイルスに感染し、データを盗まれたり、ばらまかれたりするケース

個人情報保護法への実務対応

個人情報保護法について

 (1)個人情報保護法の背景
 仕事や日常生活において、パソコンやインターネットは切っても切り離せない存在となりました。企業では、顧客情報や人事情報といった情報のほとんどすべてをパソコンで管理する時代です。データは知識があればコピーをすることができるので、企業の管理体制が不十分だと、悪意ある第三者によって簡単に持ち出されてしまいます。その結果、個人情報が悪用され、迷惑な勧誘電話や大量のダイレクトメール(迷惑メール、スパムメール)、架空請求通知など、悪質な広告・宣伝や詐欺などの被害に苦しむことになるわけです。このような状況を阻止するため、個人情報保護法がつくられました。

 (2)個人情報保護法の対象となる企業
 個人情報保護法の対象となるのは、5,000人を超える個人情報を管理する事業者です。
 この5,000人という数字ですが、過去6カ月以内の1日でも5,000人を超えると対象となります(同一人物が重複して登録されている場合は、それらを1人としてカウントします)。
対象者となれば、個人情報取扱事業者として義務が課せられることになります。

 (3)個人情報保護法に違反したら?
 個人情報の保護を怠り、不適切な管理によって情報漏えいした場合には、事件・事故が公表され企業は重大なダメージを受けます。法的には6カ月以下の懲役(または30万円以下の罰金)に処せられる場合もあります。
 加えて、個人情報漏えいによる被害や損害賠償を本人から請求されるリスクが発生します。これらによって、大規模漏えい事件・事故の場合には巨額の賠償金支払いに直面する危険性もあるのです。そのため、企業は個人情報を慎重に管理していく必要があります。

具体的な対応について

 (1)個人情報の取得
 アンケートや顧客名簿の作成など、顧客の個人情報を取得する際は、利用目的を具体的に特定し、本人へ通知する必要があります。また、顧客の家族や第三者から聞き出すといった不正な方法による取得をしないようにします。

【ワンポイント】
<利用目的を具体的に特定している例>

  • 新商品に関するご案内の送付のために利用します
  • お客様のお役に立つ情報を電子メールで送信するために利用します

<利用目的を具体的に特定しているとは言えない例>

  • 事業活動に利用します
  • サービス向上に使います

 (2)個人情報の利用
1.利用目的を変更するとき
 利用目的を変更するときは事前に本人の同意が必要です。
(例:新商品の情報提供が目的だったが、メールマガジンの配信にも利用したいなど)

2.第三者への提供
 第三者への提供には必ず本人の同意が必要です。

<ポイント整理>

  • 個人情報を取得する際は、具体的に利用目的を通知して本人の同意を得る。
  • 利用目的の範囲外で利用する場合は、その旨を通知して本人の同意を得る。
  • 第三者へ提供する場合は、提供先での利用目的を明確にしたうえで、通知して本人の同意を得る。

 (3)個人情報についての問い合わせ先
 顧客から個人情報についての問い合わせを受けたら、適切に対応できるようにしておかなくてはなりません。そのためにも、問い合わせ先は、はっきりと公表する必要があります。

【ワンポイント】

  • 顧客が自分の個人情報にアクセスできるよう、問い合わせ窓口を設置する。
  • 問い合わせを受けるときに、本人確認の方法を決めておく(身分証、パスワードなど)。
  • 本人から個人情報の開示・訂正・削除・利用停止などを求められた場合には、迅速に対応する。

(4)個人情報を管理するときの留意点
 自宅で仕事をしようとコピーした顧客データを電車に置き忘れた、あるいは事務所に空き巣が入ってデータを盗まれた・・・そんな事態を想定して、対策を講じることが必要です。

【ワンポイント】

  • 個人情報が入っているノートパソコンや記憶媒体の外部持ち出しを禁止する。
  • 個人情報を管理している部屋の入退出管理を実施する。
  • 個人情報を保管しているロッカーや引き出しなどは施錠をする。

 (5)個人情報の廃棄・消去
 個人情報の廃棄・消去にも細心の注意が必要です。ゴミとして捨てた個人情報が焼却前に拾われて悪用される可能性も考えなくてはなりません。

【ワンポイント】

  • 個人情報が記載されている書類は、シュレッダーにかける、または溶解処分する。
  • 個人情報を保存しているコンピュータや外部記憶媒体は、物理的に破壊する。
  • 個人情報を保存しているコンピュータをリース元に返却、または処分する場合にはフォーマットだけではなく、専用の抹消ソフトを使用して処理する。

企業全体としての取り組み

 個人情報の漏えいは、たった1人の社員の行為であっても、企業全体に責任が及びます。個人情報の管理については、企業全体で取り組まなくてはなりません。

基本方針(プライバシーポリシー)

 まずは、「個人情報に対する基本方針」を定めて公表します。
 そうすることによって、内部の社員に対しては個人情報保護の必要性や重要性を認識させることができ、また、外部の顧客に対しては個人情報保護にしっかりと取り組んでいる企業であることをアピールすることができます。

個人情報保護規定の整備

 次は、個人情報保護への取り組みをより具体化し、企業内のルールをつくります。

<個人情報保護規定に盛り込むべき事項>

  • 各部門の階層における個人情報を保護するための権限および責任の規定
  • 個人情報の収集、利用、提供および管理の規定
  • 情報主体(個人情報の本人)からの個人情報に関する開示、訂正および削除の規定
  • 個人情報保護に関する教育の規定
  • 個人情報保護に関する監査の規定
  • 内部の違反に関する規定

体制の整備

 個人情報保護を推進するための役割分担や責任の所在を明確にし、体制を整備します。実際に扱っている情報のうち何が個人情報なのか、それは誰が責任をもって管理するのかなどを決める必要があります。企業全体の管理責任者である「個人情報保護管理者」、部門ごとに「部門管理者」を配置するなど、役割分担を明確にします。

就業規則などの整備

 基本方針や個人情報保護規定に違反した社員がいたとしても、就業規則にその旨を定めていなければ懲戒処分を課すことはできません。個人情報保護規定の中に「本規定の第○条に違反した者については、就業規則第○条の懲戒に関する規定を適用する。」といった一文を設けたり、就業規則の服務規定の中に「会社が定める個人情報保護に関する方針またはそれに関する諸規定に違反しないこと」といった条項を設けたりすることが必要です。また、社員の喚起を促すために誓約書を提出させておくことは有効な手段です。

教育

 社内での個人情報保護の管理体制やルールを徹底するためにも教育を実施し、社員一人ひとりの意識を高めることが重要です。

監査および見直し

 個人情報の保護において、ここまでやれば万全というレベルはありません。社内ルールや教育の効果があらわれても、そのままにしておけば意識は徐々に低下してしまいます。そうならないためにも、個人情報の管理状況などを定期的に監査し、不適切な部分は改善を行って高いレベルの運用を目指すようにしてください。

従業員情報について

 企業は、顧客情報だけでなく、従業員やその家族のデータ、退職者のデータを保有しています。それらの情報も個人情報ですので、十分注意して取り扱わなければなりません。

 厚生労働省では雇用管理など、厚生労働分野における個人情報の適切な取扱いのためのガイドラインを設けています。これに準じるかたちで対応しましょう。

利用目的

 企業では、従業員の情報をさまざまなかたちで利用します。指針では、従業員のデータを収集する目的を特定しなければならないとしています。「雇用管理に利用するため」とするだけでなく、「人事考課」、「社会保険の手続き」など具体的にしておきましょう。

本人の同意

 指針では、口頭や書面による承諾を従業員本人から得ることが望ましいとしていますが、書面にしておいた方が証拠にもなり、トラブル防止に役立つでしょう。

第三者への提供

 第三者(加入している保険会社や健康保険組合、厚生年金基金など)へ個人情報を提供する場合には、事前に従業員の同意を得る必要があります。また、クレジット会社などからの在籍確認に応じる際も本人の同意が必要になりますのでご注意ください。

健康情報

 個人情報の中でも健康情報(健康診断の結果、病歴など)については特に配慮が必要です。健康診断のデータについては、産業医を管理責任者にすることなどを検討してみましょう。

最終内容確認 2014年2月

  • googleplus
  • hatena
  • pocket
  • line
  • evernote

経営管理から決算書の作成まで

このページの先頭へ
起業するコンテンツ一覧
  • 事業計画作りや実際の起業準備そして開業まで。起業を目指す人の『こんな時どうする?』に応えます。

  • 法律知識や経営診断など、起業準備段階はもちろん、実際に起業・開業してからも使える豊富な情報を掲載。

  • 『国の補助金を活用して創業するには?』についてご説明します。

  • 中小企業や個人投資家にとってのメリットを、その仕組みや優遇措置について詳しくご紹介します。

  • 起業・開業を考えている職種の消費者利用動向がすぐにわかる、職種別データ一覧。

  • 200以上の業種・職種から選べる開業準備手引き書。

  • 最新のビジネストレンドや中小企業が直面する経営課題など、読み物コンテンツをまとめています。

  • 若手起業家にインタビュ—。「社会人起業」と「学生起業」それぞれの選択を対比しながら起業のカタチを探ります。