「個人情報保護法って、大企業の話でしょう。うちは従業員10人だし」 「うちは自治会だから、法律は関係ない」——。
どちらも、かつては概ね正しく、今は明確に間違いです。 以前は「扱う個人情報が5000人分以下なら対象外」というルールがありましたが、 これは2017年の法改正で撤廃されました。現在は、 顧客名簿・会員名簿・従業員名簿を1件でも事業活動に使っていれば、 会社の規模を問わず「個人情報取扱事業者」として法律の対象です。 そしてここでいう「事業」は営利に限りません。 自治会・PTA・NPO・同窓会などの非営利団体も対象です。
とはいえ、条文を読み込む必要はありません。中小企業・団体が 実務で押さえるべき点は、実はかなり絞れます。 (本記事は一般的な解説であり、個別の法的判断は専門家・ 個人情報保護委員会の窓口にご確認ください。)
そもそも「個人情報」とは
生きている個人を特定できる情報です。氏名はもちろん、 氏名と組み合わさった住所・電話番号・購買履歴、顔写真、 メールアドレス(氏名が推測できるもの)などが該当します。
つまり、次のようなものは全部「個人情報のかたまり」です。
- 顧客名簿、会員名簿、名刺の束、年賀状リスト
- 従業員の履歴書・給与データ
- お問い合わせフォームの送信内容
- 防犯カメラの映像
特に注意が必要なのが「要配慮個人情報」で、病歴・障害・犯罪歴・ 人種・信条などが該当します。取得に本人の同意が要り、漏えい時の扱いも 重くなります。医療・介護・士業はもちろん、健康診断結果を持つすべての 雇用主に関係します。
最低限の義務は5つ
1. 使う目的を決めて、伝える
個人情報を集めるときは「何に使うか」を決め、本人に知らせるか公表します。 実務的には、ホームページにプライバシーポリシーを1枚置き、 フォームや申込書に一言添えるのが定型です。 決めた目的の範囲外で使わない、が原則です。
2. 安全に管理する(安全管理措置)
法律は「漏えい等が起きないよう必要かつ適切な措置を講じる」ことを求めています。 中小企業向けには簡易な水準が示されており、要するに次のようなことです。
- 名簿ファイルの置き場所を決め、アクセスできる人を絞る(「リンクを知っている全員」共有は真っ先に潰す)
- PCとアカウントにまともなパスワードと2要素認証を設定する
- 紙の名簿は施錠保管、古いPCの廃棄時はデータ消去
- ウイルス対策・OS更新など基本的なセキュリティを維持する
「高価なシステムを買う」話ではなく、当たり前の管理を、決めて、続ける話です。
3. 勝手に第三者へ渡さない
本人の同意なく、名簿を外部に提供してはいけません(法令に基づく場合などの 例外はあります)。「グループ会社だから」「取引先に頼まれたから」は 同意の代わりになりません。業務委託(例: 発送代行に宛名リストを渡す)は 「提供」とは別枠で認められますが、委託先がずさんなら委託元の責任が 問われます。委託先をひとことで言えば「選んで、契約して、様子を見る」義務です。
4. 漏えいしたら、報告する(2022年から義務化)
ここが近年最大の変更点です。以前は努力義務だった漏えい時の対応が、 一定の場合には個人情報保護委員会への報告と本人への通知が法的義務に なりました。対象は主に次のケースです。
- 要配慮個人情報の漏えい(健康情報など。1件でも対象です)
- 財産的被害のおそれ(クレジットカード情報など)
- 不正アクセスなど攻撃による漏えい(ランサムウェアや乗っ取りは基本的にここに入ります)
- 1000人を超える漏えい
報告には期限があり、発覚後「速やか」(目安3〜5日)の速報と、 原則30日以内(不正目的の場合60日以内)の確報が求められます。 一斉メールのBCC忘れのような身近な事故も、 内容次第でこの土俵に乗ります。「起きたら誰が判断して、どこに報告するか」を 1行でも決めておく——これが中小組織にとって一番安上がりな備えです。
5. 本人からの求めに応じる
本人から「自分の情報を開示してほしい」「間違いを直してほしい」 「消してほしい」と求められたら、応じる義務があります。 実務的には、問い合わせ窓口(メールアドレスひとつで可)を プライバシーポリシーに書いておくことが第一歩です。
中小企業・団体の「現実的な最初の一歩」
全部を一度にやる必要はありません。次の順で進めるのが現実的です。
- 名簿の棚卸し: どこに・何の名簿が・何件あるかを一覧にする(個人のPCやUSB、退任した役員の手元に散らばっていないか)
- プライバシーポリシーを整備する: ひな形は個人情報保護委員会や商工会議所が公開しています。自社の実態に合わせて直すこと
- 安全管理の基本を実施する: 上記2の箇条書きを、できているか順に潰す
- 事故時の初動を決める: 「気づいた人は◯◯へ報告 → ◯◯が個人情報保護委員会サイトの報告フォームと専門家に当たる」の2行でよいので書いておく
なお、取引先から届くセキュリティチェックシートには、 個人情報の管理体制を問う項目がほぼ必ず入っています。 ここで整えたことが、そのまま回答の根拠になります。
まとめ
- 「5000件以下は対象外」は撤廃済み。1件から、会社も団体も対象
- 義務の骨子は5つ: 目的の明示 / 安全管理 / 無断提供の禁止 / 漏えい時の報告・通知 / 本人対応
- 特に2022年からの漏えい報告義務は、BCC誤送信やウイルス感染など身近な事故も対象になり得る
- 高価な対策より、「名簿の棚卸し」と「事故時の初動を決める」が先
「名簿がどこに何件あるか把握できていない」「プライバシーポリシーが 10年前のまま」「チェックシートの個人情報の項目が書けない」—— 心当たりがあれば、現状を添えて無料相談からどうぞ。