【個人情報の取り扱い】中小企業が知っておくべき個人情報の取り扱い
こんにちは!
税理士・行政書士・社会保険労務
の齋藤幸生です!
今回は・・・
中小企業が最低限知っておく
個人情報の取り扱いを解説します。
それでは、スタートです!!
個人情報は何を指すのか?
個人情報とは個人情報保護法
第二条(定義)を確認すると
次のようになっています。
当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
上記を解説すると
生存する個人に関する情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
になります。
つまり、氏名や生年月日などで
あの人だ!!とわかる情報です。
現実では紙に書かれているものや
それ以外にもPCを使ってデータベース
にしているものも含まれます。
具体的に個人情報になりえるで
あろう情報とはどんなものに
なるのかも確認してみます。
氏名や生年月日だけでは
第三者があの人だ!!とわかる
ことは少ないと考えられます。
したがって、情報の組み合わせで
第三者があの人だ!!と知りえる
ことになることが個人情報に変化する
ということになります。
例えば、第三者が氏名だけとか
生年月日だけで個人を特定する
というのは難しいですが
氏名、生年月日と電話番号の3つ
を組み合わせることで
第三者が個人を特定することは
難しくないと考えます。
まとめると1つ1つの情報だけでは
個人を特定するに至らないが
1つ1つを組み合わせることで
個人が特定されるものが個人情報
に該当することになります。
個人情報を扱うときのルールを定める
日本のみならず全世界的に
個人情報を扱うことが多いです。
最近でもランサムウエアの感染で
個人情報が漏洩した事件がありました。
別の事件では海外からのハッキング
で大量の個人情報が漏洩させられた
こともあります。
こういった事件から想定するに
個人情報はPC内部や外部ストレージ
例えば、クラウドなどに
データベースが保管されていて
管理されているから漏洩が起こる
と考えられます。
別の切り口からでは転職した社員の
顧客情報の持ち出し
現役社員による顧客情報の
販売といった内部不正もあります。
以上のことから中小企業が
備えるべき個人情報に関する
ルールづくりをしておくと
よいと考えます。
ご依頼はこちら!
1 個別相談スポット業務
2 税務調査立会支援
3 経営革新等支援業務
4 税務顧問などの顧問業務
5 6万円から始める確定申告
ルールといっても何から始めたら
というのが現実だと思います。
政府広報オンラインでは基本ルール
が解説されているので何もしていない
場合には、こちらのルールを整備する
ことになります。
4つの基本的ルール
①取得利用
②保管管理
③提供
④開示請求等への対応
事業では取引を行う都合上
個人情報を取得することになります。
このときに個人情報の取得理由と
利用目的を明確にします。
利用するのは社員を含めた事業者
になるので利用目的は大切です。
社員がおかしなことに使わせない
というけん制ができます。
個人情報を取得すると保管と
管理をする必要があります。
現状では保管と管理がずさんで
あればあるほど漏洩するおそれが
高まります。
保管はどこに行うのか
セキュリティは問題ないのか
などを確定しておきます。
管理は少数精鋭と行きたいですが
それは事業効率で難しいため
情報にアクセスした履歴がわかる
仕組みを備えるとよいかもしれません。
履歴を追うことができるように
すれば不用意な利用にもけん制が
働くと考えます。
提供は最も注意を払う行動に
なると思います。
第三者への提供は本人同意を得る
提供した第三者の情報や提供した
情報の履歴を残すといったことも
よいかもしれません。
最後に、主にECサイトなどで
見ることが多い開示請求等への
対応になります。
開示請求する手続き、苦情や相談
などに対応できるようにしておくこと
が必要になります。
もし個人情報が漏れてしまったら・・・
もし個人情報が漏れてしまったら
個人情報保護法に基づいて行動を
開始することになります。
個人情報保護法第二十六条では
漏えい等の報告義務が個人情報を
扱う事業者に課されています。
第一項
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
第二項
前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
個人情報が漏れたら必ず
個人情報保護委員会に報告を
するというわけではありません。
報告する個人情報は
その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの
こちらの具体例が政府広報
オンラインに掲載されています。
(1)要配慮個人情報の漏えい等
例1:従業者の健康診断等の結果を含む個人データが漏えいした場合
例2:患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合(2)財産的被害のおそれがある漏えい等
例1:ECサイトからクレジットカード番号を含む個人データが漏えいした場合
例2:送金や決済機能のあるウェブサービスのログインIDとパスワードを含む個人データが漏えいした場合(3)不正の目的によるおそれがある漏えい等
例1:不正アクセスにより個人データが漏えいした場合
例2:ランサムウェアなどにより個人データが暗号化され復元できなくなった場合
例3:個人データが記載又は記録された書類・媒体などが盗難された場合
例4:従業者が顧客の個人データを不正に持ち出して第三者に提供した場合(4)1,000人を超える個人データの漏えい等
例:メールマガジンの配信を行う際、個人データであるメールアドレスを本来はBCC欄に入力して送信すべきところ、誤ってCC欄に入力して1,000人を超える方々へ一斉送信した場合
なお、(1)、(2)、(3)は1件でも漏えい等の事態が発生したら報告と通知の対象となります。
現実では情報が漏れる以外に
情報がなくなってしまったとか
利用不可能になってしまった
といったことがあり得ます。
漏えい以外にも報告義務が生じる
ということを理解して
社員にも周知させておくと
けん制のみならず
情報を適切に扱おうとする
行動につながると考えます。
編集後記
私は税理士をやってきて
社労士業務を始めたところ
個人情報がいろいろなところから
集約されることになりました。
一応、セキュリティ対策はしている
ものの情報漏えいはいつどこから
降ってくるのかはわかりません。
昨年ですが、多くの社労士が
使っている業務ソフトのクラウド
サーバーがハッキングされて
大量の個人情報が流出した
ということがありました。
社労士事務所の問題ではなく
使っていた業務ソフト会社が
ハッキングされたのです。
このようなことも起こりえる
ので対応してもしきれないのが
現状なのかもしれません。
では税理士・行政書士・社会保険労務士
の齋藤幸生でした!!
それでは、また!
youtube始めました!
税理士さいとうゆきおチャンネル
現在活動中止しています。
税務顧問や執筆などのご依頼はこちら↓
この記事は、その時の状況、心情で書いています。
また、法令に関しては、その後改正された場合には、
異なる取り扱いになる可能性があります。
ご依頼はこちら!
1 個別相談スポット業務
2 税務調査立会支援
3 経営革新等支援業務
4 税務顧問などの顧問業務