2017年7月26日水曜日

「改正個人情報保護法対応レッスン」 (3) 対応のための事前学習5

◆個人情報保護に関し、中小企業が対応すべきこと◆


「個人情報保護規程」の策定にともなって、実際の現場で、どのような対応をしないといけないか、それらを学んでおきましょう。
ここについては、あちこちで情報があふれていますが、どれも情報過多で、ポイントが見えにくいかと思います。

そこで、中小規模の企業だと、まぁこれくらいは知っておきましょうということに限定して書きます。


1.個人情報の利用目的の特定、取得の制限等

・利用目的を決めておく

個人情報を、
本人に入力してもらったり、書いてもらったりして直接取得する場合も、
ネットで公開されていたり、名簿を購入したりして間接的に入手する場合も、
ともに、その利用目的を決めておかなければなりません

後に追加や変更することもできますが、その際は指定された手続きが必要となるので、あらかじめできる限り決めておいた方がよいのです。

・利用目的を示す

直接的に取得する場合は、その際にその利用目的を示してください。
そして、できる限り同意を得ておいた方が好ましいでしょう。
同意はたとえばチェックボックスを作っておくなどしておくことで対応できます。
これは法律上では義務ではありませんが、後でもめないようにするためにそうしておくに越したことはないということです。

間接的に取得した場合は、利用目的を本人に通知するか、Webサイトで公表しておきます。

示した利用目的がウソであったり、あとで勝手に変えることは、顧客の信用を失いますから、してはいけないことは明らかですよね。

変更する場合、
その本人が想定内となりそうな内容なら、連絡するか公表すればOKです。
いやいや、そんなことに使われるとは、と想定外となりそうな変更の場合は、あらためて、同意を取り直してください。

2.要配慮個人情報の対応

今回の改正で、思想、信条、人種、社会的身分、犯罪歴、病歴等の不当な差別や偏見の原因になりうる個人情報を要配慮個人情報として新しく定義されました。
機微情報やセンシティブ情報とも呼ばれるものです。

これらは直接取り扱う企業は少なくようにも思いますが、健康診断結果も含まれますので、社員の個人情報の取り扱い時にはどの企業もあてはまりそうですので注意が必要です。

どのような注意をするかというと、
同意なく取得してはいけない、ということと、
事前同意なく第三者提供してはいけないということです。
委託はOKですが、厳格な管理が必要です。

3.安全管理措置(組織的、人的、技術的、物理的)

漏洩等をしないように、しっかりと対策をとっておくことも求められています。
漏洩時の報告ラインなど組織的な対応、全社員への教育啓蒙、そして、外部からの不正アクセスや人為的ミスをカバーする技術的な対策、さらに、情報の保管場所やPC上のアクセス権管理など、しっかりと対策をとっておくことが必要です。
対策は万全とはなかなかいきませんが、ズサンな管理では顧客の信頼を失ってしまいます

4.第三者提供、記録簿等

自社が入手した個人情報をむやみに誰かに渡してしまうのはご法度なのは簡単に理解できると思います。でも、禁止ではありません。人の紹介など、もらった名刺を見せたり、コピーを渡すとかもよくあると思います。社外に人にだと、それらも第三者にあたる人への提供にあたりますが、そんなことまで法律で規制されているわけではありません。
自社が持っている名簿をごっそり他社に渡したり、名簿屋に売ったりする際には、さまざまな義務が発生します。そういうことをしようと思った際は、その前にしっかり勉強しなおしてください。

5.保有個人データの対応

営業マーケティング等に利用するために保有している個人情報について、本人から、自分の情報がどうなっているのかという問い合わせに対応しなければなりません。これも義務としてではなく、真摯な態度で快く対応しましょう。
修正してくれとか削除してくれという依頼については、これは法律がどうのこうのではなく、ふつうに企業として対応しますよね。原則それでOKです。
変なクレーマーには対応しなくてもよいです。

6.苦情対応

苦情に対しても、法律がどうのということに関係なく、また個人情報に関することでなくても、きちんと対応することが企業価値を高めますよね。基本それでOKです。


7.組織体制

社内規程や現場の業務マニュアルなどは、一度作ったら終わりではなく、きちんと運用し、定期的にそれらがうまく機能しているかを確認することが必要です。
そして必要に応じて変更、改訂を行いましょう。
「責任者」も名前だけでなく、しっかり自負し、定期的に自分が責任者である意識をリマインドすることが好ましいですね。


あと個人情報をベースにした統計情報を入手したり、他社に提供したりすることがあれば、「匿名加工情報」に関して学んでおく必要があります。


まぁこんなところかなと思います。
これくらいなら、しっかり覚えておけそうですよね。
はい、ぜひ覚えておいてください。

投稿者 時刻:
ラベル: ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)