ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 専任担当者が少ない、中堅・中小企業の情報システム部門の方へ
  4. 第4回テーマ 「改正個人情報保護法」
ここから本文です。

情シス奮闘記 中小企業編

第4回テーマ 「改正個人情報保護法」

2017年5月

個人情報保護法が改正されるけど、うちにも何か関係あるの?

機械部品製造業のアミダ社は社員が50人余り。情報システム担当は、総務と兼任の中村和人氏が一手に引き受けている。市販のパッケージソフトウェアを使った給与・会計システムから、10年前にSIベンダーが作ったという資材購入・製品販売システムに至るまで、すべての面倒をみているのが中村氏だ。実質的に1人で情シスを担当している状態なので、セキュリティ対策はおざなりになりがち。そんなアミダ社には日々様々な問題が起こっている。

「5000件ルール」の撤廃。個人情報保護は他人事ではない

中村和人は、行きつけの居酒屋で友人のシステム会社SE・海田大輔と飲んでいた。ふと、海田が言った。

「5月から個人情報保護法が改正されるけど、中村のところは対策しているの?」

「個人情報保護法? えっ、変わるの?」

飲みの席の話なので、話題はそれ以上進まなかったのだが、中村は帰宅後、あらためて改正個人情報保護法について調べてみた。そうすると、現行法では取り扱う個人情報の数が5000件以上の企業にのみ個人情報保護法が適用されていたが、改正後は「5000件ルール」が撤廃されるとのことだった。1件でも個人情報を取り扱っていれば個人情報保護法の適用対象となるのだそうだ。

「うちは、社員50人位の会社だし、取引先もそう多くはない。扱う個人情報はとても5000件には達していないから、これまで法の適用外だったんだな。しかし5月からはそんな企業も適用対象になる。これはしっかり対策しなければ」、ベッドのなかでぼんやりと考える中村だった。

情報技術の発展に対応した法改正。2017年5月にはほとんどの事業所が対象に

さて翌日、中村は早速、総務部の加藤彩に話を振ってみた。

「今度、個人情報保護法が変わるそうだ。知ってた?」

「えっ、そうなんですか?」

「実は法律自体は2015年9月に改正されていたんだ。約2年の移行準備期間を経ていよいよ2017年5月から施行ということなんだ。僕もうっかりしていて知らなかったんだよ」

「でも、あの法律って、マーケティング会社とか従業員がたくさんいる大企業が対象じゃないんでしたっけ」

「それがね、改正後は、1件でも個人情報を取り扱っていれば、法律の適用を受けることになるんだよ」

「え、それってウチも対象ってことですよね。そもそも改正にはどんな背景があるんですか」

「最初の法律の制定は2005年で、もう10年以上も前のことだからね。この間、外出先でPCやタブレット端末を活用して仕事をしたり、マイナンバー制度が始まったり、スマホの認証も指紋で行われるようになったり、ビッグデータなんかも出てきたしね。また、この10年の間に、個人情報が大量に外部流出して大事件になることがいくつかあったよね。こうした問題はこれからも起こりうる。つまり、情報技術が発展し、制定当時には想定されていないいろんな課題が出てきたんで、法律を改正して対応しようということなんだと思うよ」

「え、ちょっと待ってください。あまり聞いたことがない単語がぽんぽん出てきて、情報が多くて頭の整理が…」

法律の話に加えてIT用語なども出てきたので、加藤はかなりとまどっているようだ。

「難しいよね。少し調べて背景は分かったんだけど、法律自体はそこまで分かっていないんだ。もっと色々勉強しないといけないね」

話をしながら二人は危機感を共有するようになった。法改正に対応するといっても、施行の5月まで全然時間がない。まずは個人情報保護委員会がホームページに掲載している「個人情報の保護に関する法律についてのガイドライン」などの資料をダウンロードし、にわかに勉強を始めることにした。(法改正のポイントは、下記「改正個人情報保護法のポイント」を参照)

まずはメールアドレスや名刺データベースの管理から

「うーん…、なかなか難しいものですね」

デスクの上に積まれた大量の資料を読んでいた加藤が渋い顔をして、そう言った。

「法律が変わったとして、実際、ウチではどんな対策を取ったらいいんですか」

中村も考えあぐねている。

「例えば、ガイドラインを読むと、“個人情報データベース”に該当する事例に、電子メールのアドレス帳や、Excelなどで管理している名刺の情報なども挙げられているね。名刺も個人が紙のままバラバラに保管している場合は該当しないんだけれど、データとして整理していると該当するんだって」

「その名刺管理データがもし外部に漏れてしまったら、取引先の個人情報がごっそり漏えいしちゃうからでしょうかね」

「ウチの場合はまずはこのあたりからだな。社内でどんなふうにメールアドレスや名刺が管理されているか、まずはこれを洗い出して、個人情報としての管理を改めて検討する必要があるな」

「これまで、個人情報保護方針とか、それに関連する規程やマニュアルもなかったですね。個人情報管理の責任者が誰なのかも決めていなかった気がします。これもやらなくちゃいけないですね」

「個人情報保護の適用を受ける受けないにかかわらず、個人データの漏えい、紛失を防ぐための方策は、会社ぐるみでやっておかなくちゃいけなかったんだ。よし、法改正はよい機会だ。社内体制の見直しを急ごう」

「そうですね!」

解説DVDを社内勉強会で共有。個人情報検出ツールなどITソリューションの活用も

改正個人情報保護法への対応のために、中村はまず社内勉強会を開くことにした。「勉強会」はアミダ社の最近の“流行り”だが、けっこうこれが効果的だ。ふだん会話を交わさない部署の違う社員同士が、勉強会を通して仲良くなるという副次効果もあった。

ただ、勉強会といっても法律がからむことなので、いい加減なことは伝えられない。そこで、中村はまず、従業員向けの個人情報管理の教育をスムーズに進めるのに役立ちそうな研修用のDVDを買い求めることにした。ちょうど、中小企業向けに実務担当者向け解説DVDや従業員向け研修DVD、関連書式ひな形などをパッケージ化した製品があったのだ。DVDを勉強会で上映するだけでも、かなりの効果があった。

「お客様からいただいた名刺1枚も、大切な個人情報だということをお忘れなく。それを管理するのはまずアミダ社の社員一人ひとりの責任なのです」

と中村は勉強会の最後にそう話した。

「セキュリティの強化で、これまでの業務が少々煩雑になる可能性もあります。けれども、法律で決められている個人情報を扱う上ではやむを得ないことなんです」

と話すと、勉強会に集まった社員たちの表情がピリッと引き締まるのがわかった。

勉強会で個人情報管理やセキュリティ意識が高まった流れを受けて、中村はなんらかのセキュリティソリューションを導入することをいま検討中だ。

まずは現状、バラバラに保管されている個人情報を集約することが必要だ。そのためには社内のPCやサーバーにどんな個人情報が格納されているかを調べたい。ただ、これを人力でやるのは大変だ。

「最近は、ファイルサーバー内の膨大なデータをリアルタイムにスキャンして、人名やメールアドレスや住所などを検出するソフトがあるみたいですよ」と、絶好のタイミングで加藤がアドバイスしてくれた。

「いいものなら導入を検討してみようか」

他にも、個人データを取り扱う従業者を明確化し、個人データへの不要なアクセスを防止することができるようなセキュリティソリューションも各社から提供されていることがわかった。

「ウチは大企業じゃないから、そんな大規模なものは必要ないよ。コストパフォーマンスを重視してくれたまえ」

江窪社長はいつものように、クギをさす。

「わかってますって、任せておいてください」──中村と加藤は顔を見合わせて笑うのだった。

改正個人情報保護法のポイント──マイナンバーから顔認識データまで、広がる個人情報の定義

二人がにわか勉強で得た改正のポイントは以下のようなものだ。

1. 法改正ではたんに「5000件ルール」が撤廃されただけでなく、個人情報そのものの定義に大きな変更が加えられた

  • 「特定の個人を識別できる情報」の対象に、マイナンバー、運転免許証番号、パスポート番号などのほか、指紋データ、顔認識データ、遺伝子データ、移動履歴、購買履歴なども含まれるようになった。例えば、オフィスの入退室管理に生体認証を使用している場合には、その情報も個人情報ということになる。

2. 個人情報の管理が強化された

  • 個人情報データをどのように収集したかがわかるような資料を、一定期間保存することが義務づけられた(トレーサビリティ)。万一個人情報が漏えいしてしまった際に、その経路をたどれるようにするためだ。
  • 個人情報データベースなどを取り扱う企業や従業員が、不正な利益を図る目的で情報を提供・盗用した場合、1年以下の懲役または50万円以下の罰金を科せられるという罰則「データベース提供罪」が新設された。
  • 個人のプライバシーへの配慮も強化された。人種、信条、病歴、犯罪歴などは「要配慮個人情報」とされ、これらの情報を取得する場合は本人の同意が義務づけられるようになった。

3. 一方で、個人情報をデータとして利活用するための法対応も進んだ

  • 個人情報からなるデータも、誰の情報であるか特定できないように「匿名加工」すれば、それをベースにしたビジネスができる。改正法では「匿名加工情報」という概念を新設して、ビックデータの利活用に向けた取り組みを促進することが可能になった。

今回のポイント

  • 改正個人情報保護法の施行が迫る。1件でも情報があれば適用対象に
  • 個人情報保護ガイドラインは必読資料
  • 個人データの監理、漏えい、紛失を防ぐための方策は、会社ぐるみで
  • 解説ビデオなど視聴覚教材を利用した勉強会は有効
  • セキュリティソリューションも幅広く検討
ページ共通メニューここまで。

ページの先頭へ戻る