総務人事部門は営業、IT部門などと連携した個人情報管理を徹底すべき

情報通信技術の進展とともに個人情報を取り巻く環境が大きく変化している。スマートフォンのGPS機能などを活用して個人の行動や状態を把握できるようになり、収集した個人情報は、流通・小売などのマーケティング活動や、交通・防災など公益活動への利用価値も高くなると見込まれている。そして、プライバシー保護に配慮したパーソナルデータ利活用のための環境整備や、個人情報に該当するかどうか判断が難しいグレーゾーンの拡大、経済・社会活動のグローバル化に伴う円滑なデータ流通の確保などが課題となってきた。

こうした状況のなか、個人情報保護法及び番号法（マイナンバー法）を改正する法律（改正法）が2015年9月3日に成立し、9月9日に公布された。個人情報の保護に関する独立した機関として個人情報保護委員会が2016年1月に設置され、委員会規則やガイドラインなどの策定を経て、2017年5月30日に改正法が全面施行される。

個人情報保護法と一口に言っても、大きく分けて3つの概念がある。法の順守など社内への徹底が求められる総務人事担当者は、その概念についても、理解しておく必要があるだろう。その概念の1つが「個人情報」である。生存する個人に関する情報で、氏名、生年月日、住所などにより、特定の個人を識別的できるもの。他の情報と容易に照合でき、特定の個人を識別できる情報も含まれる。更には、データベース化されていない書面や写真、音声などに記録されている情報も該当する。

また、グレーゾーンが拡大するなか、改正法では個人情報の定義を明確化するため、その情報単独でも個人情報に該当する「個人識別符号」の定義を新設している。（1）特定の個人の身体の一部の特徴をコンピュータ用に変換した符号（DNA、顔、虹彩、歩行の様態、手指の静脈、指紋・掌紋）、（2）サービス利用や書類において対象者ごとに割り振られる符号（公的な番号である旅券番号や基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証など）がある。マイナンバー法では、特定個人情報として厳しい規制が求められているが、改正法でマイナンバーは個人情報として明確化された。

2つ目の概念は「個人データ」である。個人情報データベースなどを構成する個人情報。名簿や連絡帳などのように個人情報を含む情報の集合物で、電子媒体、紙媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの。社員名簿や顧客名簿なども個人データの対象となる。

3つ目の概念は「保有個人データ」。個人情報取扱事業者（個人情報をデータベース化して事業活動に利用している者。企業だけでなく、個人事業主なども含まれる）が開示、訂正、削除などの権限がある個人データ。例えば、自社の事業活動で利用している顧客情報や従業員などの人事管理情報などが該当する。

これまで5000人分以下の個人情報を取り扱う事業者（小規模取扱事業者）は、個人情報の適用外だったが、改正法ではこの条項が削除された。改正法の全面施行後は、小規模取扱事業者であっても、個人情報保護法が適用される。つまり、ほぼすべての企業が個人情報保護法を守らなければならなくなるのだ。

総務人事部門ではマイナンバーや基礎年金番号などの情報管理を行っているが、改正法で新たに個人情報と定義されたことにより、改めて情報管理を徹底する必要がある。そして、個人情報を取り扱う営業部門や、情報セキュリティを担当するIT部門などと連携しながら、個人情報の保護と業務での活用のあり方を検討していくことになる。

例えば、自社のどこに個人情報（顧客情報や従業員の情報など）があるのか、実態を把握することから始める。顧客・取引先の情報を扱う営業部門、顧客が訪れる営業拠点の窓口、販売や問い合わせなど顧客対応を行うサポートセンターやWebサイトなど、さまざまなチャネルから顧客情報が収集される。収集された顧客情報が社内のどこで、どう管理されているのか営業部門や顧客担当部門、IT部門などと連携しながら状況の把握と問題点の分析を行う。

そして、どんな方法で顧客情報を保護するのか、顧客情報管理の責任はどの部門が持つのかといった方針の策定をはじめ、IT部門とともに情報漏えい対策として、だれが、どの情報を利用できるのかといったアクセス権限を明確化するなど、適切な情報管理を図る必要がある。

個人情報保護委員会事務局では「個人情報保護法の基本」として事業者が守るべきルールを例示している。情報管理の参考になるので、主なものを紹介する。

1. 個人情報を取得した場合は、その利用目的を本人に通知または公表 すること（あらかじめ利用目的を公表している場合は除く）。これまでも多くの企業では個人情報の取り扱いについて自社のホームページなどで公表している。総務担当者はホームページの記載内容を確認するといいだろう。
2. 個人情報を保管するときは、情報の漏えいなどが起こらないように安全に管理すること 。個人情報の安全管理の取り組みは、マイナンバーのガイドラインにも示されており、総務人事やIT部門では既に安全管理措置を実施しているはずだ。例えば、個人情報の漏えいや盗難を防ぐための入退室管理をはじめ、紙の顧客台帳は鍵のかかるキャビネットに保管するといった物理的安全管理措置をする。また、 PC上の顧客台帳のパスワードを見直してみたり、 利用者を限定するアクセス制御や認証、ウイルス対策など各種セキュリティ対策を講じてみる。
3. 個人情報を本人以外の第三者に渡すときには、原則としてあらかじめ本人の同意を得ること。
4. 本人の請求に応じて個人情報を開示、訂正、利用停止などをすること 。一般的に、会社が用意する申請書に必要事項を記載し、個人情報の開示・訂正・利用停止を求めることになる。本人からの問い合わせを受け付け、書類の送付、記載内の確認、開示・訂正などの作業をどの部署で対応するのか、個人情報の取り扱いを社内で確認しておく必要がある。

また、どのような目的で個人情報を利用するのか、具体的に特定する必要がある。企業の事業方針ともかかわるため、総務と経営企画部門などが連携しながら進める。具体的には、

（1）特定した目的は公表する。あらかじめ公表していない場合は本人に通知または公表する、（2）取得した個人情報は、特定した利用目的の範囲内で利用する、（3）既に取得した個人情報を他の目的で利用したい場合は、本人の同意を得る、などがある。

これらは当たり前のことだが、企業内できちんと守られているか、 総務人事部門は各部門長に対し、個人情報の取り扱いについて部員に確認するよう依頼をする、といったチェックが必要だ 。例えば、製品開発の参考にするためマーケティング部門が収集した個人データを、営業部門がデータベースから勝手に抜き出し、営業活動に利用することも考えられる。利用目的と異なる場合、クレームが寄せられトラブルの原因となる怖れもあるので、個人データの適切な管理を社内で徹底する必要がある。

また、改正法の全面施行により、総務人事部門にとって留意したいのが「要配慮個人情報」の取得だ。原則として本人の同意が必要になる。人種、信条、社会的身分、病歴、前科、犯罪被害情報、その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものだ。身体障害・知的障害・精神障害などがあることや、健康診断その他の検査の結果などに該当する情報を「要配慮個人情報」として、より取り扱いに留意する必要がある。

個人情報の徹底管理に向け、総務人事部門の役割は大きくなる。その一方、改正法の全面施行を契機に、コンプライアンスの順守や顧客第一主義のアピールなど、企業価値を高める好機にもなるだろう。

いまほしい栄養（情報）をピンポイントで補給できる“ビジネスのサプリメント”
「ビズサプリ」のご紹介