＼社内でコンプライアンス意識を高めるためのポイントが一冊に／

情報化の進展によって個人の権利や利益が侵害される危険性が高まっています。こうした背景から2022年4月1日より改正個人情報保護法が施行、法規制が一層強化され、違反した場合の罰則もさらに厳しくなりました。本稿では、起こりがちな個人情報保護法違反について、その罰則内容も含めて解説していきます。

個人情報保護法とは

「個人情報の保護に関する法律」（以下「個人情報保護法」）は、2003年5月に公布され、2005年4月に全面施行されました。同法は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的としています。

この法律でいう個人情報とは、「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により当該情報が誰の情報であるかを識別することができるもの（他の情報と容易に照合することができ、それにより個人が誰であるかを識別することができることとなるものを含む）」と定義されています。

その後、情報通信技術の発展、企業活動のグローバル化などに対応するため、2017年5月に改正法が施行。これによって個人情報の保有件数を問わず、個人情報データベースを事業の用に供する者は、すべて「個人情報取扱事業者」に該当することになりました。また、この改正では3年ごとの見直し規定が設けられています。

2020年にはその一環として、保有個人データの利用停止、消去などの請求権の拡充、漏えいなどが発生した場合の個人情報保護委員会への報告および本人通知の義務化などがあらたに盛り込まれた改正法案が公示され、2022年4月に全面施行。

さらに2021年に改正された内容も一部が施行されました。従来、別々に定められていた民間事業者、国の行政機関、独立行政法人、地方公共団体の機関などのルールを集約、一体化することなどが定められたのです。

このように個人情報保護法は、これまでに3度の大きな改正が行われてきたのです。

>企業が知るべき個人情報保護法のポイント！2022年4月の改正法も解説

事業者が守るべきルールとは

紙媒体・電子媒体を問わず、個人情報をデータベース化してその事業活動に利用している者を「個人情報取扱事業者」といいますが、実はほとんどの事業者が該当します。個人情報取扱事業者が守るべき主なルールには、次のような事項があります。

①利用目的の明確化・利用目的による制限（法15条、16条）

個人情報を取扱うときは、利用目的をできる限り具体的かつ明確にしなければなりません。また、事前に決めた利用目的以外に個人情報を利用することはできません。

②個人情報の適正な取得・利用目的の通知、公表（法17条、18条）

個人情報を偽り、その他不正な手段によって取得することは禁止されています。個人情報を取得したときは、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知または公表しなければなりません。

また、本人から直接書面（電磁的方式を含む）で個人情報を取得するときは、あらかじめ本人に利用目的を明らかにする必要があります。

③個人情報の安全管理措置・従業者、委託先の適切な監督（法20条、21条、22条）

個人データの漏えいや滅失、毀損を防ぐために必要かつ適切な安全管理措置を講じる義務のほか、従業員に対する管理義務も定められています。個人データの取扱いを他の事業者に委託する場合も同様です。

④個人情報を第三者に提供する場合の制限（法23条～26条）

あらかじめ本人の同意を得ずに他の事業者などの第三者に個人データを提供することは禁止されています。

⑤利用目的等の公表・個人情報の開示、訂正、利用停止（法27条～34条）

事業者の氏名・名称、保有個人データの利用目的、開示などに必要な手続き、苦情の申出先について本人に公表すべきことなどが定められています。

⑥苦情の処理（法35条）

個人情報の取扱いについて苦情の申出があった場合、適切かつ迅速な処理に努める必要があります。

起こりがちな個人情報保護法のヒヤリハット事例

個人情報保護法上、重大事故につながる危険のあるケースにはどのようなものがあるのでしょうか。ここでは利用目的、安全管理措置、第三者提供の3つのケースにおける具体例をみていきましょう。

ケース1：利用目的

「経営する飲食店で人手不足で困っていたところ、ポイントサービスに登録している顧客名簿から人選し、電話でアルバイトの勧誘をすることを思いついた」

顧客名簿がある以上、個人情報取扱事業者に該当します。本人の同意なく、利用目的の達成に必要な範囲を超えて個人情報を扱うことはできません。

このケースでは、ポイントサービスのための顧客名簿を勝手にアルバイト採用に利用しようとしており、利用目的の明確化・利用目的による制限に触れると判断されます。

ケース2：安全管理措置

「顧客リストの整理をするため、USBメモリーを会社の施錠されたキャビネットから取り出してパソコンで作業をしていたが、途中で来客があり、USBメモリーを挿入した状態でフロアに行った」

顧客リストは会社の財産ともいえる重要な個人データであり、このケースでも施錠したキャビネットで管理しています。

しかし、従業員が放置している間に悪意のある第三者が抜いて情報を盗む可能性もあります。厳格な管理を徹底させる必要があるでしょう。

ケース3：第三者提供

「家電売場で商品を購入した顧客から不良品だったとの連絡があり、メーカーに伝えたところ、直接、代替品を送りたいとの申出があった。顧客からは住所と電話番号を伝えられているが、メーカーに住所を教える同意は得ていない」

あらかじめ本人の同意を得ずに第三者に個人データを提供することは禁止されています。このケースでは、住所については同意を得ていないため、メーカーに住所を伝えることについて同意を得る必要があります。

個人情報保護法に違反した場合の罰則とは

個人情報取扱事業者が個人情報保護法に違反した場合、どのような罰則があるのでしょうか。

今回の改正で、違反に対する罰則は強化されていますが、違反があった場合でもいきなり罰則が適用されるわけではありません。

まず、個人情報保護法の義務規定に違反し、不適切な個人情報の取扱いを行っている場合、個人情報保護委員会が個人情報取扱事業者に対し、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができます（法145条1項）。

そして勧告を受けたにもかかわらず、正当な理由がなく、その勧告にかかわる措置をとらなかった場合、個人情報保護委員会が個人の重大な権利利益の侵害が切迫していると認めたときは、その勧告にかかわる措置をとるべきことを命令することができます。

このとき、個人情報保護委員会は、命令にかかわる措置を講ずべき期間を設定します。その期間中に措置が講じられない場合は公表の対象となるほか、個人の場合は1年以下の懲役または100万円以下の罰金、法人の場合は1億円以下の罰金刑が科されることがあります（法173条、法179条1項1号）。

さらに報告徴収・立入検査に応じなかった場合、または報告徴収に対して虚偽の報告をした場合、個人や法人などに対し、それぞれ50万円以下の罰金刑が科されることがあります（法177条1号、法179条1項1号）。

＼社内でコンプライアンス意識を高めるためのポイントが一冊に／

個人情報保護法違反が起きないための対処法

前述した例でもご紹介した通り、個人情報保護法違反は、意外に身近なところで起きやすく、企業のコンプライアンスの観点からも個人情報保護法違反とならないように、適切な安全管理措置を講じることが必要です。ここでは、個人情報保護法違反を防ぐための具体的な安全管理措置についてみていきましょう。

①組織体制の整備

社内の責任者を決め、各部署でも担当者と役割を明確化し、組織体制を整備します。

②規程類の整備

従業員がバラバラに安全管理するのではなく、個人データの取得、利用、保管、廃棄などについて会社としてルールを定めておくことが重要です。

③個人データ取扱状況の把握

社内で扱う個人データをしっかり把握することが不可欠となります。その上で個人情報取扱台帳を整備します。

④電子媒体の取扱管理

USBメモリーなどは施錠したキャビネットなどに保管する必要があります。従業員が業務で使用するときには、持ち出した記録を付けなければなりません。社外に持ち出すときの管理については、従業員に管理を徹底させることが重要になります。

⑤セキュリティ対策

パソコンのウィルス対策を万全にすることはもちろんですが、データ送信時の個人データの暗号化やパスワードを定期的に変更することも大切です。また、社内で情報アクセス権は限定した従業員だけに与えましょう。

＞情報セキュリティリスクとは？企業が行うべき対策を解説

⑥個人情報保護研修

個人情報の重要性や個人データの安全管理について社内報や文書で通達するだけでは効果はあまり期待できません。定期的に個人情報保護に特化した研修を実施し、その重要性を全社員が共有することが大切です。

>個人情報保護研修とは？実施内容と押さえておきたいポイントを解説

個人情報保護法研修におすすめのツール

個人情報は知らない間に誤った取扱いをしてしまい、大きなトラブルにつながることが少なくありません。全従業員が普段から個人情報保護について高い意識を持ち、適切に取扱えることが重要となります。そのためにも、個人情報保護法研修を実施することが大切です。

コストを抑えつつ、質の高い個人情報保護法研修をオンラインで行うなら、「playse. eラーニング」がおすすめです。

「playse. eラーニング」は、個人情報保護法関連のコンテンツを含む約5,000レッスンが、月額19,800円～の低コストで見放題のeラーニングシステムです。スマートフォンやパソコンからいつでもどこでも学習でき、テスト・アンケート機能付きなので、理解度チェックも可能です。

また、搭載コンテンツだけでなく自社教材のアップロードも可能。搭載コンテンツと自社教材を自由に組み合わせて、より自社に合った研修を実施することができます。

詳しいサービス資料やオンライン研修、eラーニングシステムの活用に関するご相談など、お気軽にお問い合わせください。