ビジネスパーソンなら知らなきゃいけない「個人情報」の保護と取扱いの基本
2015年9月3日、「マイナンバー法(社会保障・税番号)法」と「個人情報保護法」の改正法が、国会で可決、成立しました。2016年1月の運用開始を前に、世の中の関心は「マイナンバー制度」のほうに集中しているようですが、個人情報保護法の改正もビジネスの世界には大きな影響を与えます。ここでは、個人情報保護法改正のポイントを見ていきたいと思います。
今回の改正は、2003年の個人情報保護法成立以降、初めての本格的な改正となりました。
改正法成立を伝えた9月4日の『朝日新聞』は、改正のポイントとして次の4点を挙げています。
(1)企業が持つ個人情報について、本人の同意なく使い道を変えられる範囲を広げる
(2)だれの情報かわからなくすれば、企業が個人情報を同意なく外部に提供できる
(3)様々な省庁にわかれていた監督権限を、2016年1月につくる第三者機関「個人情報保護委員会」に集約
(4)差別につながりかねない情報は、同意なく集めたり使ったりできない
■改正の狙いは個人情報取扱いの規制緩和と保護の強化
「(1)企業が持つ個人情報について、本人の同意なく使い道を変えられる範囲を広げる」と「(2)だれの情報かわからなくすれば、企業が個人情報を同意なく外部に提供できる」は、企業が持っている大量の個人情報を使いやすくする“規制緩和”の意味合いがあります。情報技術が進み、個人情報を含むビッグデータは、新しいビジネスに繋がる可能性を秘めた“経営資源”と認識されるようになりました。こうした経済社会の状況の変化を踏まえ、企業が名前や住所を消すなどして「匿名加工情報」と認められれば、本人の同意なしに他人に提供できるようにしたのが、今回の改正の最大のポイントです。
例えば、交通系ICカードの乗降履歴やクレジットカード等による買い物の履歴が、今後、新しいサービスの提供や新商品の開発を考えている企業に売れるようになるかもしれません。あるいは、ビッグデータを活用した新しい商品やサービスの開発競争が激しくなることも予想されます。
その一方で、個人情報の保護を強化するのが、「(3)様々な省庁にわかれていた監督権限を、2016年1月につくる第三者機関「個人情報保護委員会」に集約」と「(4)差別につながりかねない情報は、同意なく集めたり使ったりできない」です。
日本の個人情報保護は、世界的に見たとき、決して厳しいものではありませんでした。特に、EU(欧州連合)は、日本の情報保護が不十分であるとして、個人情報の行き来を禁じています。日本企業は、現地子会社の従業員データさえ簡単には持ち出せないのです。今回の法改正を通じて、個人情報の保護の規制が世界的な水準に追いつくことで、日本の企業が海外で活動しやすくなることが期待されています。
■中小企業であっても対策の徹底を
ところで、個人情報の保護強化に関連して、今回の改正で「中小規模事業者」に対する規制も強化されます。
これまでは、取り扱う個人情報の数が過去6か月間で5000人以下の民間事業者は、個人情報保護法が規制の対象とする「個人情報取扱事業者」に該当しないとされていました。しかし、改正によって、「過去6か月間で5000人以下」という個人情報取扱事業者の適用除外が廃止されます。
あまり注目されていませんが、実は、この改正は中小規模の事業者にたいへん大きな影響を及ぼします。
マイナンバー法は、従業員数100人以下の中小規模事業者に対し、マイナンバー管理措置に関する特例を認めています。しかし、従業員数が100人以下でも、①社会保険労務士や税理士など委託に基づいてマイナンバーに関連する事務を行う事業者、②銀行や証券会社などの金融分野の事業者、③個人情報保護法上の「個人情報取扱事業者」は、特例が認められていません。
その為、これまで「過去6か月間で5000人以下」との理由で「個人情報取扱事業者」から除外されていた中小規模の事業者が、個人情報保護法の改正によって「個人情報取扱事業者」として扱われることになり、その結果、マイナンバー法の特例も認められなくなることになるのです。
つまり、個人事業主や中小企業も含めたほとんどすべての事業者が「個人情報取扱事業者」となり、個人情報保護法の規制対象となるだけでなく、マイナンバーの管理についても一般事業者並みの厳格な措置を講じる必要が出てきたのです。
改正個人情報保護法は、成立から2年以内に施行されることになっていますので遠い未来のこととは言えません。マイナンバーに関する対応に追われているという人も多いと思いますが、行政処分や風評による信用失墜、民事賠償といった様々なリスクに晒される前に、今からしっかりと対策を立てておく必要があるでしょう。
※参照元
『朝日新聞』9月4日記事
『週刊エコノミスト』9月15日号