企業や組織で働く上で、「個人情報を正しく扱う必要がある」ということは誰もが理解していることだ。一方で、個人情報保護法については一般的に浸透していない部分も多い。
本研修では、「個人情報って、結局何?」「社員である自分は何に気をつければ良いの?」という基本ついて、わかりやすく解説していく。
「個人情報」とは、⽣存する個人に関する情報のことを指す。
死者に関するものや法人等の団体そのものに関するものは対象外とされている。
なお、外国の方であっても日本人と同様に扱われる。
個人情報を取り扱う事業者を「個人情報取扱事業者」と言う。
個人情報をどれだけ取り扱っているかは関係がなく、個人情報をデータベース等で所持し、事業に活用している場合は「個人情報取扱事業者」とされる。
個人情報に関する取り扱いは、個人情報保護法(正式名称:個人情報の保護に関する法律)により定められている。原則3年ごとに更新される。
法律の中で扱っていることを大きく分けると以下の3点だ。
他にも様々な決まり事があるが、ビジネスシーンで働く者としては上記3つを押さえることがベースだ。本記事の中でもここに触れていく。
個人情報取扱事業者(以下、事業者)には、個人情報を適切に扱うことが義務付けらている。
違反時の罰則・罰金をわかりやすく示すと以下の通りだ。
企業に所属する社員としては、2を守ることに気をつけたい。
1. 違反行為への勧告や命令に従う
2. 個人情報やそのデータを提供・登用しない(第三者への不正利用目的での提供も含む)
3. 個人情報保護委員会への虚偽の報告をしない
上記で確認した通り、個人情報保護法を守るためには「個人情報を不正に提供・利用しない」ことがポイントだ。具体的には以下に気をつけて業務を進めてもらいたい。
個人情報を取得する場合、その目的を具体的に特定することを指す。
「何のために個人情報を使うか」を、お客様や顧客側に明示する必要があるということだ。以下のような文章はよく目にしたことがあるだろう。これが個人情報取得に関する明示である。
| お客様から、お預かりしました個人情報につきましては、お問い合わせの為の御返信・弊社実施の御希望の講座や セミナーのご案内・ご希望の講座に関連する弊社実施の各種セミナーの御案内に利⽤させていただきます。 |
|---|
自身で情報を集める場合や、お客様からのアンケートを取得する場合などはこれらの記載があるかを確認する必要がある。
正しく取得した個人情報は、特定した利用目的の範囲内で利用する必要がある。
当たり前のことだが、「目的以外で勝手に個人情報を利用しない」ということだ。
顧客情報やお客様データなどを何かに活用したい場合、「集めた際の目的の範囲内か」を確認した上で、上司への相談をすることが良いだろう。
個人情報を第三者に提供する場合、原則としてあらかじめ本人の同意を得る必要がある。
もちろん、警察からの照会や災害時の被災者情報の提供など、例外的に第三者への提供が認められている場合があるが、基本的にはNGと理解しておくことが良いだろう。
企業として集めた個人情報を活用したいという場面は多くある。
そのような場面にはオプトアウト制度を利用する。
オプトアウトとは、個人情報保護法で定める事項をあらかじめ本人に通知しておくことで、本人の同意なく第三者提供できることを指す。
原則「利用可能」としておき、問題がある時や本人からの意思表示がある場合「不可」とする。具体例としては以下の通りだ。
| 例)サービス購入の際、個人情報を有益な情報の共有に利用すると伝えておく。その後メールマガジンを送る。メールマガジンの中には必ず「配信停止する」場合の動線を載せておく |
|---|
送付しているダイレクトメールに、配信停止の記載があるかなどは、広報などに関わる業務を行う方には知っておいてほしい部分だ。
本記事では、個人情報保護法についての基本を説明してきた。記事内で触れていない箇所の方が多いほど、個人情報の取り扱いについて理解すべきことは多くある。
個人情報保護研修や勉強会を企業内で定期的に実施し、「正しく理解しているか」「更新された内容は、既存のサービスやフォームに反映されているか」などをチェックすることが良いだろう。
適切な個人情報の活用は企業の発展にもつながる。正しい知識を適切に共有してもらいたい。
個人情報保護法に関する一連の流れは以下の通りだ。
詳しい内容は、個人情報の保護に関する法律についてのガイドライン(通則編)(個人情報保護委員会)を参照してほしい。
| 年 | 内容 |
|---|---|
| 平成 15 年(2003 年) | 個人情報保護法 成立 |
| 平成 27 年(2015 年) | 個人情報保護法 改正 |
| 令和 2 年(2020 年) →3 年ごとの見直しに基づく初めての法改正 |
改正個人情報保護法 公布:令和 2 年 6 月 12 日 施行:令和 4 年 4 月 1 日 改正の主な内容 ・保有個人情報開示拡大 ・仮名加工情報(新) ・個人関連情報(新) ・不正利用規制 ・第三者提供規制強化 ・罰則強化 |
| 令和 3 年改正法の第一弾 | 公布:令和 3 年 5 月 19 日 施行:令和 4 年 4 月 1 日 改正の主な内容:個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の一元化 |
| 令和 3 年改正法の第二弾 | 公布:令和 3 年 5 月 19 日 施行期日:令和 5 年 5 月 18 日までの政令で定める日 改正の主な内容: 個人情報保護法と各地方公共団体の個人情報保護条例の一元化 デジタル社会の形成を図るための関係法律の整備に関する法律 50 条改正(国・独立行政法) |
