本稿でとくに断りがない限り、引用する法律は個人情報保護法で、ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。
個人情報保護法改正によりすべての事業者に安全管理措置が課せられます。
これが結論ですが、もう少し詳しく説明します。
事業者とは、正確には「個人情報取扱事業者」を指し、「個人情報取扱事業者」とは個人情報データベース等を事業の用に供している者(2条5項)です。
わかりにくいですね。具体的に考えてみます。
まず、「個人情報データベース」とは、電子計算機を用いて、あるいは、その他の方法によって個人情報を容易に検索できるようにした個人情報の集合体(2条4項)です。例えば、商品の申込書をお客様に記入していただくと、多くの場合、その申込書にはお客様の住所・氏名・電話番号等の個人情報が記載されていると思います。この申込書は、おそらくパソコンに入力するでしょう。専用ソフトかエクセルのような何らかのソフトを用いて、日付順なり五十音順なり、後で検索できるように個人情報(申込書に記載された内容)をパソコンに保存すると思います。この個人情報をパソコンに保存している状態が個人情報データベースです。したがって、事業で個人情報を取り扱う以上、個人情報データベースを持つことになりますから、個人情報取扱事業者だということになります。そこで、冒頭の見出しの「すべての事業者」とは、まさに事業を行うすべての者を意味します。
いやいや、当事業所はパソコンに個人情報を入力しないから、個人情報データベースは持っていないことになり、個人情報取扱事業者には当たらないよ。したがって、安全管理措置をとる義務はないのでは?
残念ながら、個人情報データベースとは「個人情報を容易に検索できるようにした個人情報の集合体」ですから、先の申込書の例であれば、申込書を日付順や五十音順にファイルに綴って保存している状態が個人情報データベースです。したがって、安全管理措置は課せられます。
そもそも当事業では個人の顧客はいないので、個人情報取扱事業者には当たらないよ。あるいは、当事業ではすべての商品を店頭で販売し配送も行わないので、お客様の個人情報を取得することがないから個人情報取扱事業者には当たらないよ。
残念ながら、お客様の個人情報だけが事業で取り扱う個人情報ではありません。従業員の個人情報や取引先の個人情報も事業で取り扱う個人情報です。したがって、従業員、仕入れ先や委託先の担当者などの個人情報が一切ないということがない限り、やはり、個人情報取扱事業者に当たります。
ということで、事業を行っている者のほとんどは個人情報取扱事業者に当たり、安全管理措置が課せられることになります。
個人情報というと、漏洩・紛失等のマイナスイメージを伴うケースを想像することが多いですし、これらを防止するために安全管理措置が必要となると面倒なイメージがあります。
しかし、例えば、一度利用したネット通販を再度利用する時に、IDやパスワードを入力すると住所・氏名の入力を省略できるなど、個人情報の利活用が便利性を高めることも多いです。
次回からは、安全管理措置について詳しく検討します。
個人情報保護ならコンプライアンスハーツ
0 件のコメント:
コメントを投稿