2022年4月1日に個人情報保護法が改正され、個人情報の保護レベルが一段とあがりました。また、EUでは2018年にGDPR(一般データ保護規則)という法律が施行され、EU域内の拠点を持つ企業、EU向けにサービスを行う企業、EUから個人データの処理について委託を受けている企業に網がかかりました。アメリカのカリフォルニア州においては、CCPA(カリフォルニア州消費者プライバシー法)が2020年に制定され、カリフォルニア州の居住者の個人情報を取り扱う企業に適用されることになりました。つまり、個人情報保護の流れはグローバルな流れで、その規制は強化される方向にあります。日本の企業も、顧客や潜在顧客の個人情報を、アンケートでウェブを通じて大量に保管しているところが多く、うかうかしていると、その漏洩事故になり、企業イメージの多大なる棄損を受ける上に、多額の損害賠償を請求されることになりかねません。

①個人情報保護その1:個人情報保護法の趣旨
②個人情報保護その2:個人情報の棚卸
③個人情報保護その3:プライバシーポリシーの制定
④個人情報保護その4:組織体制の整備と研修

①個人情報保護その1:個人情報保護法の趣旨

個人情報保護法により、企業は個人情報の慎重な取得と利用を求められています。取得時には、利用目的を明らかにし、同意を得る必要があり、利用時には、その利用目的の範囲を逸脱せぬように慎重な管理を行う必要があります。

企業は、顧客、取引先、従業員と多数の個人情報を管理していますが、ネット経由の不正アクセス、ウィルス感染により、情報漏洩のリスクが高まっています。これを防ぐために、企業としては、個人情報の組織的、人的、物理的、技術的安全措置を講じなければなりません。こうした予防体制ばかりではなく、漏洩した場合の事後の危機管理体制も整備しておく必要があります。

個人情報保護法は、EUではGDPRという極めて厳しい法律が定められています。国際取引を営み、EUに住む個人の個人情報を管理している会社では、この法律に対応することも必要になっています。

②個人情報保護その2:個人情報の棚卸

個人情報を取り扱う企業としては、まずどの部署がどのような個人情報を保管しているのかを明らかにしないと行けません。実際には、個人情報が部署別に取得され、管理されており、企業全体として、個人情報の取得・管理状況を把握している会社は多くありません。そのため、まずは個人情報がどこの部署で取得され、どこの部署で管理されているのかについて棚卸を行い、現状を明らかにしていく必要があります。

③個人情報保護その3:プライバシーポリシーの制定

個人情報の漏洩、不正利用等はマスコミの注目度も高く、事故が起きた場合、管理に不行き届きがあった場合には会社に大きなダメージとなります。最近では、ラインで日本の個人情報に中国の関連会社からアクセス可能になっていたということで大変大きな問題となりました。こうした事態を避けるために、企業としては、厳格な個人情報管理体制を敷いていかなければなりません。まずは、会社としての個人情報保護に関する基本方針(プライバシーポリシー)を定め、個人情報管理規程等を制定しておく必要があります。この他にも、個人情報の開示請求書や訂正請求書等の書式を準備しておく必要もあります。

④個人情報保護その4:組織体制の整備と研修

規程や書式を整備しても、組織を整備し従業員の教育をしていかないと、個人情報保護の精神は社内に徹底されません。まず、社内全体の責任者を任命し、各部署に個人情報管理の担当者を配置しなければなりません。個人情報は社内のだれもが取り扱い、触れる可能性があるものなので、全社員に対する教育研修を徹底していくことも必要です。社員の入れ替わりもあるので、毎年、教育研修を更新していくことも必要です。

このように個人情報保護法への対応は、規程の整備、組織体制の整備、教育研修の実施を必要とするものです。当事務所ではすべての分野をカバーする一気通貫のサービスの提供を心がけています。