個人情報を取り扱う際のルールを定めた「個人情報保護法」。これまで、法律の適用対象は5001人分以上の個人情報を取り扱う事業者に限られていたが、平成29年5月30日からすべての事業者・団体が対象となった。
中小企業や個人事業主はもちろん、個人情報を利用する事業が営利か非営利かは問われないため、NPOや町内会・自治会など、ありとあらゆる団体も個人情報を取り扱う際のルールが義務づけられる。もはや、個人情報保護法は「他人事」ではなくなった。
改正個人情報保護法において「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるものとしている。法律上の定義はいまいちピンとこないが、具体的には、①氏名、生年月日、住所、顔写真などにより特定の個人を識別できるもののこと。
また、特定の個人の身体の一部の特徴を電子的に利用するために変換した個人識別符号、例えば、 顔、指紋・掌紋、虹彩、手指の静脈、声紋、DNAなどの認識データなども個人情報に含まれる。そのほか、マイナンバー、旅券番号、免許証番号、基礎年金番号、住民票コード、各種保険証の記号番号などが該当する。
「個人情報保護法を守る」というと、ハードルが高そうにも思えるが、個人情報を扱う際の基本的なルールは、「使う目的をきちんと説明する」「勝手に目的外に使わない」「しっかり保管する」などで、これまで個人情報を扱ってきた事業者や団体にとっては常識的な注意で十分としている。個人情報を取り扱う場合、どのような点に注意すべきか、5つのポイントを確認してみる。
①個人情報を取得するとき
個人情報を取得する際は、どのような目的で個人情報を利用するのかについて、具体的に特定しなければならない。個人情報の利用目的は、あらかじめ公表するか、本人に知らせる必要がある。個人情報のうち、本人に対する不当な差別・偏見が生じないように特に配慮を要する情報(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害情報など)は、「要配慮個人情報」として、取得するときは本人の同意が必要だ。
②個人情報を利用するとき
取得した個人情報は、利用目的の範囲で利用しなければならない。すでに取得している個人情報を、取得時と異なる目的で利用する際には、本人の同意を得る必要がある。
③個人情報を保管するとき
取得した個人情報は漏洩などが生じないよう、安全に管理しなければならない。例えば、「紙の個人情報は鍵のかかる引き出しで保管する」、「パソコンの個人情報ファイルにはパスワードを設定する」、「個人情報を扱うパソコンにはウイルス対策ソフトを入れる」など。また、個人情報を取り扱う従業員に教育を行うことや、業務を委託する場合に委託先を監督することも重要だ。
④個人情報を他人に渡すとき
個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の同意を得る必要がある。なお、業務の委託、事業の承継、共同利用は、第三者には当たらない。次の場合は、本人の同意を得なくても個人情報を他人に渡すことができる。(1)法令に基づく場合(例:警察からの照会)、(2)人の生命、身体または財産の保護のために必要で、かつ本人からの同意を得るのが困難なとき(例:災害時)、(3)公衆衛生・児童の健全育成に特に必要な場合で、かつ本人の同意が難しいとき(例:児童虐待からの保護)、(4)国や地方公共団体などへの協力。
⑤本人から個人情報の開示を求められたとき
本人からの請求があった場合、個人情報の開示、訂正、利用停止などに対応しなければならない。個人情報の取扱いに対する苦情を受けたときも、適切かつ迅速に対処しなければならない。個人情報を扱う事業者や団体の名称や個人情報の利用目的、個人情報開示などの請求手続の方法、苦情の申出先などについて、ウェブサイトでの公表や、聞かれたら答えられるようにしておくなど、本人が知り得る状態にしておく必要がある。
日税ジャーナルオンラインより