中小企業にも義務が拡大

　改正個人情報保護法の施行は５月30日。あらゆる中小事業者が対応を迫られることになるが、周知は遅々として進んでいない。

　東京・豊島区のある小売業者の総務担当者は取材に対して「まったく知りませんでした。何がこれまでと変わるんですか」と話したが、このような事業者はほかにも多いはずだ。

　個人情報保護法とは、事業者が顧客から集めた個人情報を扱うに当たって、管理規定や第三者への提供に際してのルールなどを定めたものだ。名前や年齢、住所や過去の購入履歴といったデータは、さまざまな業者にとっての〝宝の山〞となり、悪用の危険性もあるため、その取り扱いに対してはさまざまな義務が課せられる。

　これまで同法の対象となっていたのは、扱う個人情報が５千件を超える企業のみだったが、改正によって要件が撤廃され、１件からの適用となった。顧客の情報をまったく持っていないという企業はほとんどないため、実質的にはすべての中小企業が対象となるわけだ。

　同法が改正された背景には、２０１４年に通信教育大手のベネッセから３５００万件超の顧客情報が漏えいした事件がある。従業員の持ち出した顧客データが名簿業者に売られていた同事件では、持ち出した本人に実刑判決が下され、ベネッセには被害者への補償などで２００億円近い損害が生まれたが、データを転売した名簿業者や、実際に名簿を使って営業活動を行った企業などの責任は追及されなかった。自分の情報が知らぬところで売り買いされて商売の種にされることへの批判が高まったことで、今回の法改正に至った。

　またマイナンバー制度が昨年から始まっていることも無関係ではない。今回の法改正では一部が先行して施行され、情報管理のルール作りや民間事業者の監督を担う「個人情報保護委員会」が昨年１月に設置されている。同委員会はマイナンバーの適正な取り扱いを規定する業務も担っていることからも、マイナンバー制度の開始が個人情報保護法改正の大きな機運となったことは確かだろう。

　一般財団法人日本情報経済社会推進協会が今年に入って行ったアンケートによると、中小企業が改正法に向けて行う対応として最も多かった回答は「従業員教育」で全体の８割を占めた（複数回答）。人員コストに限りがある中小企業では、体制面やシステム面で採れる対応はおのずと限られてくるため、「個人情報の取り扱いがどれだけ重要な問題か」という意識付けが大切ということのようだ。

　従業員教育を怠れば、会社が法的な責任を負う可能性も否定できない。改正法では個人情報の不正利用目的での盗用に対して「個人情報データベース等提供罪」が新設され、データを盗み出した従業員本人だけでなく所属する企業に対しても罰金を科すという両罰規定が設けられた。たとえ不心得者の社員にデータを盗まれた被害者であっても責任を負わされるということだ。もちろん罰金のみならず、顧客からの信頼の失墜という最大のダメージを受けないためにも、従業員教育は徹底すべきだろう。

　さまざまな面で厳格化された改正法だが、緩和された部分もある。膨大な顧客データ、いわゆる「ビッグデータ」を生かしたビジネスの可能性を摘まないよう、改正法では、特定個人と結び付けられる部分を削除した情報を「匿名加工情報」と規定し、個人情報として取り扱う必要がないことを定めている。

　自分が特定されない形であってもデータが収集されて流用されるのは気味の悪い話だが、ビジネスとして情報を取り扱う側からすれば、匿名化することで自由に顧客情報を扱え、法律違反のリスクを背負わずに済むことは覚えておいて損はないだろう。

(2017/05/30更新)