5月30日に全面施行される「改正個人情報保護法」について、企業担当者の認知調査が行われた。それによると、65パーセントの企業担当者が内容を把握できていないことが明らかになった。
2005年に制定された「個人情報保護法」が、今回の改正で一部規制が強化され、5,000人以下の個人情報を保持する事業者も法令順守の対象となる。また、個人情報と定義される内容が幅広くなるため企業の早期対応が求められている。
個人情報の検出ソフトなどを提供するアララは、企業の情報システム部門在籍者を対象にインターネットによる調査を行い、422人の回答者の中、「回答を控える」、「分からない」と答えた284人を除いた割合を算出した。
企業が早期に対応しなければならないことは?
改正個人情報保護法の施行で、企業が行わなければならないことについて、7つのポイントを中心にまとめた。
- 保有している個人情報が5000人以下の事業者であっても、適用の対象になる。これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要がある。
- 企業が個人データを第三者に提供する場合には、その提供の記録の作成は義務付けられていなかったが、改正法ではこれを作成すべきことになった。
- 個人データを第三者に「提供する場合」のみならず、第三者から個人データの提供を「受ける場合」にも確認・記録する新たな義務が新設された。
- 個人情報の第三者提供に関し、本人の求めに応じて第三者への提供を停止する「オプトアウト」について、新たな規制が加えられた。
- 外国にある第三者への個人データの提供について新たに規制が設けられた。
- 「個人識別符号」という概念が新設され、紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、または旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号も単独で個人情報に該当することになった。
- 心身の機能障害や健康診断結果、刑事事件に関する手続きがおこなわれたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報「要配慮個人情報」という概念が新設された。
企業は、法律関連部署と外部の専門家と検討して、法改正に伴う個人情報管理の取り組みを早急に求められている。上記の項目をぜひ参考に。
(編集・岳進)