個人情報保護法の改正が予定されているそうですが、留意すべきポイントを教えてください。(学習塾経営)

 個人情報の有用性に配慮しつつ、個人の権利を保護するため「個人情報の保護に関する法律」が平成15年に制定されました。この法律を補完し、事業者の守るべき責務を具体的かつ詳細にまとめ、個人情報保護のための円滑な取り組みを促す目的で策定されたのが、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」です。今秋、改正が予定されているのは、このガイドライン(指針)です。

 個人情報は「氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義され、映像や音声も含まれます。取引先の担当者情報はもちろんのこと、企業名の入っているドメインと、個人名がセットになっているメールアドレスも該当します。

 今般発生した教育関係事業者による、2千万件を超える個人情報の漏えい事件は、保護者や国民に大きな不安を与えました。今回の漏えい事件の問題点は、内部関係者が不正に個人情報を売却し、買った側も出どころが明らかでないまま本人の了解を得ることなく利用したことにあります。個人情報はいったん流出すると取り返しがつきません。この事案を踏まえ、再発防止策の一環として打ち出されたのがガイドラインの改正です。

より厳重な管理を求める

 事件が発覚したのが7月だったため、迅速な対応からも国の問題意識の高さをうかがい知ることができます。

 5年ぶりとなる改正のポイントは3点あります。まず①経営層の積極的関与が挙げられます。経営者自らが先頭に立って個人情報保護の重要性を、身をもって社内に示すことが求められます。具体的には、個人情報を取り扱う専門部署を設置し、役員クラスを責任者に任命する必要があります。取り扱う個人情報の質と量にもよりますが、もはや片手間の管理では不十分と言えます。

 次に②委託先および再委託先の監督強化です。これまでもガイドラインの中で委託先の評価選定、取り扱い状況の把握等が求められていました。今回の改正では委託先の安全管理措置の実施が十分であることを確認し、また委託先がべつの事業者に再委託する場合には、事前に承認を求めるように指示するとともに、再委託先の安全管理措置の実施が十分かどうかを確認する(再々委託先以降も同様)必要があります。

 最後に③個人情報を入手する際の確認行為の厳格化です。第三者から個人情報を取得する際は、当該情報をどのように入手したか、その入手方法・ルートを確認することが求められます。合法的に入手されていることが確認できない場合には、非正規のルートで入手されたおそれもあるため、取引の自粛を含め慎重に対応しなければなりません。

 わが国には、個人情報を取り扱う適切な体制を整備している事業者に付与される「プライバシーマーク」を取得している事業者が1万4000社近くあります。今回の改正を踏まえ、プライバシーマーク要求事項がより高度化することは間違いありません。今後取得を目指す事業者も含めて、改正の動向を注視する必要があるでしょう。

掲載:『戦略経営者』2014年10月号