これまで説明してきた個人情報保護法の改正内容、法主旨に事業者がどのように対応すべきなのか対応への基本的な考え方を説明します。
全ての事業者にとって対応必須です
全事業者への適用ですので個人情報を取り扱う事業主は全て対応が必須です。例外は法で規定された一部適用除外の業種のみです。
未対応の場合は違法であるばかりでなく、一旦情報漏えい事故が発生したらそのダメージ(社会的信用の失墜、イメージダウン、対策・再発防止コスト、懲役・罰金)は計り知れず、社会的に大きな制裁を受けることになるのは過去の事件を見れば明白です。
そして、今回個人情報保護法が改正されたことで、顧客側もルールを守って対応している安全・安心な事業者を選択するのは当然です。義務を守るという「やらされ発想」ではなく、法遵守を積極的にアピールすることで顧客や取引先へ安心感を与え、「顧客から選ばれる事業者」となりビジネス拡大をするという発想で対処することが肝要です。
大企業と同じことをやらなければならない
5,000件要件が撤廃されたので中小事業者も全て大企業がやっていることと同じように個人情報保護の対応が必要となります。ただし大企業と異なるのは、取り扱う個人情報の範囲と量の違いで大変さ加減は大企業より楽になると思います。「同じことをしなければいけないが、同じやりかたでやる必要はない」ということです。以下そのあたりについて説明します。
マイナンバーとの関係
マイナンバーは政府が定めた個人情報で個人情報保護法の対象ですが、特別な個人情報であり、個人情報保護法よりも厳格な規定を「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」という個人情報保護法令の特別法として別に規定しています(個人情報保護法令とは、個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法、個人情報保護条例)。
マイナンバーを個人情報保護法の観点で見ると政府が自身で取り扱うマイナンバーの利用目的を明示し、基本方針を決めて、取り扱う国民に取扱いのルールを徹底させたものと言えます。当然ですが、5,000件要件などの配慮はありませんので、法人で社員を雇用されている方はマイナンバーで既に国から求められた取扱いのルールへの対処をしているはずです。国がやったことと同じように、今度は自社が取り扱う個人情報の利用目的を明示し基本方針や管理ルールを定め、関係者に守らせるのだと考えるとイメージしやすいでしょう。
前述の「同じことをしなければいけないが、同じやりかたでやる必要はない」でいうところの「マイナンバーと同じやりかたでいける」になります。気を付けないといけないのは、同じやり方ですが異なるところもあるので一緒にひとまとめのルールではなく、マイナンバーとは別にわけて管理した方が最終的に早いということです。マイナンバー対応のときに多くの企業が陥ってしまった罠です。
Pマーク、ISMSとの関係
個人情報保護法への対応という話をすると、よく見られる反応が「うちの会社に情報セキュリティはまだいいよ」や「Pマーク(プライバシーマーク)やISMS(情報セキュリティマネジメントシステム)の認証かぁ、金も時間もない!」と対応を後回しにしてしまうこと。PマークやISMSは後回しでも、個人情報保護法で定められていることはやらなくてはなりません。何故ならPマーク、ISMSは標準規格の類ですが、個人情報保護法は法律だからです。法律の遵守については選択の余地がないということは理解頂けると思います。
PマークのPはプライバシーであり広く個人情報をプライバシー保護にまで規定した規格になります。ISMSはさらに個人情報もプライバシーデータもふくめた情報セキュリティシステムをどう構築・管理するかということになります。そして厳密に言うと実は個人情報保護法は直接的にプライバシーの保護を明記していません。
対象範囲の包含関係は、個人情報保護 < Pマーク < ISMSとなります。
個人情報の種類・範囲が大きくて、取得場面も多岐にわたっているような企業では、人手による対応にも限界があり管理も難しいので情報システムを導入しISMSの対応までを行った方がよいと言えます。しかし、社員も少なくて個人情報の量も限られファイル一冊で扱えるような小規模事業者は鍵付きの書庫で保管するといったような基本的なルールだけで運用するということでも十分対処できます。5W1Hという言葉がありますが、個人情報保護法には5Wは規定されていますが、1HのHow(どのようにやるか)の規定はありません。Howを実施するのにPマーク、ISMSを活用することは選択肢であると思いますがそれぞれに合わせたやり方を選ぶことが肝要です。
Pマーク、ISMSの認証を取得することは十分な対応と言えますが、中小事業者での個人情報保護法という観点ではtoo much(やりすぎ)かもしれません。better(やった方が良い)ではあるが、must(必須)ではないと言えます。時間とお金のかかる対応になりますので、今すぐ対応しなければいけない個人情報保護法への基本的な対応は後回しにせずにすぐに取り掛かるべきです。自社の業務内容を見直して対応範囲を見極めることが最初に必要なことです。
大変になることと簡単でよいこと
国が国民に忖度したのかどうかはわかりませんが、改正前の個人情報保護法では小規模の事業者は「大変だろうから」と適用が除外されていました(個人情報の取り扱いが年間に5,000件未満の事業者は対象外)。今回から適用除外であった中小企業や個人商店などの個人事業主も含めて個人情報を取り扱う事業者は全て例外なく対象になります。全員が対象です。国が「大変だろうから」と適用除外にしていたものを適用しないといけないのですから「大変になる」のかなと思います。
しかし「簡単になる」ことも用意されています。実は「大変になること」の具体的な「やり方」である安全管理措置は小規模事業者向けの緩和措置が取られております。ここは大企業並みのことはやらなくてもよろしいということです。前述のファイル一冊の管理で済むところは情報セキュリティシステムまで構築して管理する必要はありません。 法律では例外なしとしましたが、具体的な実施方法については緩和してくれてます。(国民に忖度してくれています)
企業がwebにアップしている個人情報保護方針を見ると、たまに法律で定められた遵守義務のところは具体的に書いてはおらず、ISMS対応しています(だから大丈夫です)との記述がされているものを良く見かけます。せっかくISMS対応をされているのに法で表記を求められている遵守義務を記載せずに、義務ではないISMS対応をしていると言い張ってもちぐはぐです。やるべきことを理解して、必要な法遵守への対応をしっかりとやりましょう。
次回は具体的に何をやらなくてはいけないのかについて…(実践編へ続く)