個人情報保護法

個人情報保護法

　全ての事業者は、個人情報の取り扱いについて以下のルールを守る必要があります。

（１）利用目的
　利用目的を決めて、それ以外に使用しないこと
　利用目的を公表すること等

（２）取得
　不正な方法で個人情報を取得しないこと

（３）個人情報の管理
　個人情報を適切に取り扱うための管理体制を構築すること
（個人情報の取り扱いルールを定めて、社員教育をおこなうこと）

（４）第三者への提供
　第三者に個人情報を提供する場合には、本人の同意を得ること

（５）本人からの請求に対する対応
　以下の本人からの請求に適切に対応すること

①本人には、事業者に対し、事業者が管理している個人データの開示を請求する権利がある。
②事業者が管理している個人データが正確でない場合、本人には、事業者に対し個人データの追加、訂正、削除を請求する権利がある。
③事業者が個人データを適切に管理していない場合には、本人は事業者に対し、個人データの利用を停止する権利がある。

個人情報の定義

（１）個人情報保護法上の「個人情報」とは、生きている個人に関する情報で、①特定の個人であると分かるもの及び他の情報と紐づけることで容易に特定の個人であると分かるもの又は②個人識別符号含まれるものをいう（個人情報保護法第２条第１項）。

（２）個人識別符号とは、年金番号、運転免許証番号、個人番号等の個人に与えられた番号等をいう。

（３）例えば、名刺は個人情報です。住所や電話番号だけの場合には、状況次第では個人情報になります。メールアドレスのうち、「yamada＠〇〇.com」等、個人を特定できるものは個人情報です。

（４）個人情報保護法が規制の対象としているのは個人情報です。しかし、個人情報でなければ、ぞんざいに扱ってよいわけではありません。

例えば、ＪＲ東日本はSuica履歴（個人情報ではないもの）を販売したところ、消費者が問題視して炎上しかケースもあります。

会社として必要な対応

（１）マニュアルの整備と運用

　現場で、この書類は「個人情報」にあたるか、いちいち判断するのは非現実的です。したがって、「個人情報保護の考え方」を反映させた現場のマニュアルを作る必要があります。
　例えば、以下の観点から、個人情報の取り扱いを見直してはどうでしょうか。

　採用活動　　　　　　　　　　　　　　履歴書　採用面談で聞いたこと

　ビジネス上の挨拶　　　　　　　　　　お礼状、名刺、郵便物のあて名

　お客様から預かる情報　　　　　　　　面談票、各種の資料

　お客様から書類を預かったとき　

　パソコンの運営管理方法

　お客様の業務が終わったとき　　　　　終わった案件の記録はどうやって保管するか。

　社外に書類、情報を持ち出す

　情報流出のリスクのある業務とその対策

　整理整頓

　健康診断

　入社、退社の手続　　　

（２）お客様への説明

　お客様に対し、「個人情報をどのように取り扱うか」について、どのように説明するかを考えなければなりません。
　HPだけでなく、簡単な説明文を用意してもよいかもしれません。

　その他にも、過去の案件について問い合わせがある場合もあります。
　記録をどうやって保管するのか、それをどうやって整理すのか、問い合わせに答えるのか、答えないのか、記録をいつまで保管するのかを含めて、取り扱いを決める必要があります。