ビジネスパーソンであれば、「個人情報保護法」というものを、耳にしたことがある方も多いと思います。
技術の発展に伴い、生活は便利になる一方で問題視されているのが、個人情報の取り扱いや管理についてです。そうした世の中の流れから、個人情報を守るためにつくられたのが個人情報保護法です。
今回は、個人情報を守るためにつくられた、個人情報保護法とは一体どのような内容なのかを掘り下げると共に、違反した際の罰則の内容について解説していきます。
個人情報保護法とは?
まずは、個人情報保護法とは一体どんなものなのかを解説していきます。
個人情報保護法とは、個人のプライバシーに関わる情報を有益に利用しながらも、個人の権利や利益が損なわれないようにするための法律として2003年5月に制定されました。
個人情報とは、氏名や住所など生存する個人を識別または特定できる情報を指し、その個人情報は、行政や医療をはじめ一般企業まで世の中の様々な分野で利用され、適正に扱われることで技術やサービスの向上、業務の効率化などに役立っていますが、その一方で、個人情報を悪用した事件なども後を絶ちません。
こうした背景のなかで、個人情報を保護する気運が高まり法律として定められるようになりました。
個人情報保護法の3度の改定と、その改定内容
個人情報保護法は、2003年に制定されてから現在まで3度の改訂がなされています。
その背景としては、IT技術の発展や世の中の個人情報への関心の高まりに対応するために、3年に1度見直しを行い、必要に応じて改定するという決まりがあるからです。
最初の1度目は2015年です。その際は、これまで適用外であった「個人情報の取り扱いが5,000人以下の企業」が適用になったり、第三者への個人データの提供に関する規定が整備されたりなど、大きく改定されました。
2度目の改定は2020年で、漏えい等報告・本人通知の義務化、外国にある第三者への提供、保有個人データの開示方法、個人データの利用の停止・消去等の請求についてなどが整備されました。
そして3度目は、行政の行政機関個人情報保護法や、地方公共団体の個人情報保護制度など、各機関でそれぞれ制定されていたものを個人情報保護法に統合し、ルールを統一化するという改定で、2022年に施工されています。
現在の個人情報保護法の内容
上記のように個人情報保護法は時代に合わせてその都度改定されていて、改定される度に内容も厳格化されています。
例えば、個人情報の漏洩が発生した場合、今までは行政機関のひとつで個人情報の適正な取り扱いの確保を図る、個人情報保護委員会への報告や本人への通知は個人情報取扱事業者の努力に委ねられていました。ですが、2022年からは報告や通知が義務となっています。
その他にも、個人情報取得者が第三者に取得した個人情報を提供する際に、提供したという旨を「第三者提供記録」として、記録しておくことも必要になりました。
また、第三者提供記録を提供された側も、提供された旨を記録しておく必要となっています。
さらに、以前は、この第三者提供記録を個人情報の情報元の本人が開示を請求することは出来ませんでしたが、現在では出来るようになり、個人情報を提供した側も受け取った側も最低3年間は記録を保存しておかねばならなくなりました。
紹介したものはほんの一部になりますが、このように様々な側面において、個人情報保護法の内容も厳しくなっているのが現状です。
個人情報保護法上の罰則について
3度目の改定では企業に対する罰則が強化されています。現在の罰則としては、個人情報保護法上の内容に違反し、個人情報保護委員会の改善命令にも従わなかった場合、その企業には1億円以下の罰金が科せられることになっています。
また、個人情報保護法に違反した場合、罰則が科せられる対象は企業のみではありません。
違反を犯した従業員に対しても罰則があり、従業員個人に対しては、1年以下の懲役100万円以下の罰金が科せられます。
個人情報を取り扱う場合には、企業としてだけではなく、個人としても十分に配慮すべき時代になってきたと言えるでしょう。
個人情報が流出した場合には罰則以外にも
個人情報保護法を遵守せずに、実際に個人情報が流出してしまった場合は、上記のような罰金とは別な負担が発生したり、社会的制裁を受けたりすることになります。
過去に実際にあった例をあげると、2014年にベネッセコーポレーションで発覚した個人情報流出事件では、顧客ら約5,700人がベネッセ側に1人当たり55,000円の損害賠償を求め、訴訟を起こしました。これに対し東京地裁は、個人情報漏洩を認めた4,027人に対し、1人当たり3,300円、総額にして約1,300万円の支払いをベネッセ側に命じました。(出典:日本経済新聞)
こうしたケースは、ベネッセコーポレーションだけでなく、総額の慰謝料が数十億にまでのぼったケースも実際に発生しています。
個人情報保護法についてのよくある質問
Q1: 個人情報とは具体的にどのようなものを指しますか?
A1: 個人情報とは、生存する個人に関する情報であって、氏名、生年月日、住所などの他に、個人が識別できる情報(例えば、顔写真、指紋、声紋など)や、個人を特定できる情報(例えば、マイナンバー、パスポート番号、運転免許証番号など)が含まれます。また、これらの情報単体では個人を特定できなくても、他の情報と容易に照合することで個人を特定できる情報も個人情報に含まれます。
Q2: 従業員が顧客の個人情報を漏洩させてしまった場合、企業はどのような責任を負いますか?
A2: 企業は、従業員による個人情報漏洩についても責任を負います。企業は、従業員への教育や監督を適切に行い、個人情報漏洩のリスクを低減する必要があります。もし漏洩が発生した場合には、速やかに個人情報保護委員会への報告と本人への通知を行い、再発防止策を講じる必要があります。企業が適切な対策を怠っていたと判断された場合には、罰金や損害賠償請求などの法的責任を負う可能性があります。
Q3: 個人情報を安全に保管するために、どのような対策が必要ですか?
A3: 個人情報を安全に保管するためには、技術的・組織的な安全管理措置を講じる必要があります。具体的には、以下の内容になります。
- アクセス制限:権限のない者が個人情報にアクセスできないよう、アクセス制御を実施します。
- 暗号化:個人情報を保存する際は、必要に応じて暗号化などの技術を用いて保護します。
- バックアップ:個人情報の紛失や破損に備えて、定期的にバックアップを取得します。
- 廃棄時の処理:個人情報を廃棄する際は、復元できないよう適切な方法で処理します。
そのほかにも、パソコンの紛失・盗難時にパソコンのデータを消去するリモートワイプやパソコンをロックするリモートロックなどの対策もあります。また、これらの対策に加えて、従業員への教育や定期的な監査など、組織的な対策も重要です。
まとめ
私たちの生活の発展に有益に利用されている個人情報ではありますが、同時にその取り扱いや管理方法を間違ってしまうと、大きな損害に繋がってしまう可能性がある事をお分かりいただけたかと思います。
年々、個人情報に関しては厳しくなっておりますので、取り扱いなどにも十分に気をつけてください。