◆3割強の事業者では対応が間に合わない?
これまで5000人以下の個人情報を保有する事業者においては適用除外として扱われておりましたが、5月30日から全面施行される改正個人情報保護法によって、すべての事業者に適用されることになり、企業も対応に追われているところです。
一般財団法人日本情報経済社会推進協会(JIPDEC)が日本商工会議所との共催で行った「中小企業向け改正個人情報保護法実務対応セミナー」(東京:平成29年1月17日・1月27日の2回開催、大阪:平成28年12月9日の1回開催)において、参加者に対して実施した改正個人情報保護法への対応状況についてのアンケート結果によると(全セミナー参加者642名中、回答者544名)、改正個人情報保護法への対応について、現段階で「対応済みである」との事業者は全体の7.9%と1割に満たず、「平成29年の春頃までには対応する予定である(できると考えている)」と回答した割合は59.6%、「いつまでに対応が完了できるかわからない」との割合は28.7%となったそうです。
昨年末から今年頭にかけての回答状況ですが、対応の進んでない企業が少なくない状況が読み取れます。
◆改正個人情報保護法のポイント
1.個人データの第三提供の制限ルールの厳格化に伴う変更点
従業員の氏名、その他の個人データをWebサイトで公開したり、取引先に伝えるときは、個人情報保護委員会への届出をしない限り、本人の同意が必要になります。
① 本人の同意があれば、第三者提供を行うにあたって個人情報保護委員会への届出は不要
② 本人の同意がなく、個人情報保護委員会への届出を行って、第三者提供を行う場合(オプトアウト)
(オプトアウトの手続き)
オプトアウト手続きの内容について、個人情報保護委員会へ届出ることが必要です。
あらかじめ下記の項目を本人が確実に認識できる方法により、本人に通知、又は本人が容易に知り得る状態に置き、本人が提供の停止を求めるために必要な期間をおくこと。
ⅰ.第三者への提供を個人データの利用目的とすること
ⅱ.第三者に提供される個人データの項目
ⅲ.第三者への提供の手段又は方法
ⅳ.本人の求めがあったときは、個人データの第三者への提供を停止すること
ⅴ.第三者への提供の停止の求めを受ける方法(新設)
2.第三者提供時の記録義務のルール(新設)
上記1を実施した際には、下記4つの記録作成と保存が義務付けられました。
① 提供先の第三者の氏名または名称
② 第三者提供した個人データの本人の氏名
③ 第三者提供した個人データの項目
④ 第三者提供について本人の同意を得ている旨
※また、個人情報保護委員会に届出をしたうえで本人の同意なく第三者提供する場合は、④に代えて「⑤ 個人データを第三者に提供した年月日」を記録する必要があります。
記録の保存期間は、第三者提供の時から「3年間」が原則です。
3.要配慮個人情報の取得制限のルール(新設)
病歴に関する情報など要配慮個人情報については、本人の同意がない限り、取得が原則として禁止されました。
<具体的な要配慮個人情報とは>
① 病歴に関する情報
② 心身の機能の障害に関する情報
③ 健康診断の結果に関する情報
④ 健康診断等の結果に基づき、医師により行われた診療、調剤等に関する情報
よって、休職や健康診断の場面で、健康情報を取得する場合には、本人の同意がいることに注意する必要がございます。
4.要配慮個人情報の第三者提供の制限のルール(新設)
上記3の要配慮個人情報を第三者に提供する場合は、本人の同意がない限り、原則禁止とされました。
病気による休職や、休職からの復職の場面で、会社が取得した要配慮個人情報を家族に開示するような場面では、本人の同意が必要になります。
◆法改正への対応として従業員教育を重視
また、改正個人情報保護法遵守のために何を行ったらよいかとの質問については、従業員教育(従業員の意識向上)(86.4%)、セキュリティ対策構築(情報資産に対するリスク洗出し、リスク対策、サイバー攻撃対応等)(73.5%)、個人情報保護方針や規程類の作成・見直し(71.5%)の順となっています。
同調査では、個人情報保護法の改正について「知っている」との回答は9割以上となりましたが、「改正の内容まで知っている」との回答は4割だったそうです。
内容までは知らない人がまだまだ多い中、まずは従業員教育の徹底は第一課題となりそうです。
◆施行まで1ヵ月を切る
5月30日に迫った改正法の全面施行まであと1ヵ月を切っています。まだ対応が済んでいない事業者も多いかと思いますが、マイナンバー制度の開始から始まり、近時、企業のセキュリティ対策が強く求められているところです。
重大な漏洩事故が起これば企業の経営にも大きく影響しますので、早急な対策が望まれます。