2017年春から夏頃に改正個人情報保護法が施行されます。
今回は、この改正で中小企業にはどのような影響があるのかを解説します。
そもそも個人情報保護法とは?
一言で言うと、「ビジネスシーンで取り扱う個人情報を適切に管理し、お客様(ユーザー)のプライバシーを守りなさい」という法律です。
現在の法律では、5000件以上の個人情報を所持し事業に利用している事業者を「個人情報取扱事業者」として法律の対象とされています。
「個人情報取扱事業者」には、以下のような義務があります。
・業務で利用するPCの持ち出しに関するルールを明確にすること
・年に1回以上、従業員向けに個人情報保護に関する教育を行うこと
・どのような個人情報をどのように保持しているのか把握すること
・個人情報を取り扱う業務を外部委託する場合、委託先の監督を行うこと
上記の義務に違反し、個人情報を漏えいした場合は”6ヶ月以下の懲役または30万円以下の罰金」という刑事罰が科せられます。
それに加えて、漏えいした個人情報の本人から損害賠償の民事訴訟のリスクもあります。
その他、間接的に企業の信用低下や殺到する問合せへの対応により業務効率の低下、システムやデータの検証にかかる工数(コスト)などの損害も予想されます。
改正されて何が変わるのか?
1件でも個人情報を取り扱う事業者は全て「個人情報取扱事業者」となり、個人情報保護法の対象となります。
現行の法律では5000件以上の個人方法を取り扱う事業者が対象でしたので、改正によりほぼ全ての事業者が対象となってしまいます。
改正個人情報保護法の全面施行日は、公布された2015年9月9日から2年以内とされていますので、来年の春から夏頃には施行されるようですが、今日現在ではまだ施行日は決まっていないようです。
どのような対応をすればよいのか?
情報漏えいが発生しないよう慎重な対応が必要となります。
まずは、社内規定の確認、従業員に対する個人情報保護に関する教育とシステムの情報セキュリティ対策を再点検する必要があるでしょう。
社内規定に関しては、「情報セキュリティの社内規定を整備する」で解説していますのでご一読ください。
個人情報保護に関する従業員教育は全従業員が対象となり大切な要素です。
まずは、従業員の方々に個人情報保護に対する意識を持ってもらうことが重要です。
たった一人の意識が低かったために、重大な事故となり経営に大きな影響を及ぼすことも考えられます。
・個人情報保護のルールは何のためにあり、それを守ることがなぜ重要なのか
・各従業員の役割
・違反した場合にどのようなペナルティがあるのか
などを理解し、常に意識してもらうことが必要です。
そして、「情報漏えい事故の約80%を占める原因」で解説した通り、「PC操作の不注意やミス」を無くすための教育も重要です。
従業員教育については、今後もっと掘り下げていきたいと思います。
システムの再点検は、ウイルス対策ソフトが全てのPCで正常に稼働しているか、最新の修正プログラム(WindowsUpdate等)が適用されているか、セキュリティ脅威のあるソフトウェアは常に最新版にバージョンアップされているかなどを最低限点検しておく必要があります。
個人情報を適切に管理している証となる「プライバシーマーク」
プライバシーマーク(Pマーク)制度は、法律の規定を包含するJISQ15001(日本工業規格)に基づいて第三者が客観的に評価する制度であることから、事業者にとって法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールすることができます。
また、従業員にも個人情報保護の意識をより強く持ってもらうことにも繋がります。
Pマークの取得には個人情報保護に関する社内規定の作成が必須で、社内規定を整備することができますので一石二鳥です。
Pマーク取得は企業の社会的責任のひとつとして必要なことですね。