個人情報保護法の概説

個人情報保護法と企業の義務

　全ての事業者は、個人情報の取り扱いについて以下のルールを守る必要があります。

（１）利用目的
　利用目的を決めて、企業はそれ以外の目的で個人情報を使用してはいけません。
　利用目的を決めて、これを公表することが必要です。

（２）取得
　企業は不正な方法で個人情報を取得してはいけません。

（３）個人情報の管理
　個人情報を適切に取り扱うための管理体制を構築することが必要です。
　個人情報の取り扱いルールを定めて、社員教育を行うことが必要です。

（４）第三者への提供手続の整備
　第三者に個人情報を提供する場合には、本人の同意を得ることが必要です。

（５）顧客からの請求に対する対応
　顧客等は、事業者に対し自己の個人情報の取り扱いについて開示・訂正・利用停止請求の請求ができます。
　企業は、これらの請求について適切に対応する必要があります。

開示請求と対応

　事業者に個人情報を預けた者は、自己の個人情報について以下の請求ができます。

（１）事業者に対し、事業者が管理している個人データの開示を請求する権利があります。
（２）事業者が管理している個人データが正確でない場合、本人には、事業者に対し個人データの追加、訂正、削除を請求する権利があります。
（３）事業者が個人データを適切に管理していない場合には、本人は事業者に対し、個人データの利用を停止する権利があります。

個人情報の定義

（１）個人情報保護法上の「個人情報」とは、生きている個人に関する情報で、①特定の個人であると分かるもの及び他の情報と紐づけることで容易に特定の個人であると分かるもの又は②個人識別符号含まれるものをいいます（個人情報保護法第２条第１項）。

（２）個人識別符号とは、年金番号、運転免許証番号、個人番号等の個人に与えられた番号等をいいます。

（３）例えば、名刺は個人情報です。住所や電話番号だけの場合には、状況次第では個人情報になります。メールアドレスのうち、「yamada＠〇〇.com」等、個人を特定できるものは個人情報です。

（４）個人情報保護法が規制の対象としているのは個人情報です。しかし、個人情報でなければ、ぞんざいに扱ってよいわけではありません。

　例えば、ＪＲ東日本は、Suica履歴（個人情報ではないが、多人数の利用履歴）を販売したところ、消費者が問題視して炎上したケースもあります。

会社として必要な対応

１　マニュアルの整備と運用

（１）現場で、この書類は「個人情報」にあたるか、いちいち判断するのは非現実的です。したがって、「個人情報保護の考え方」を反映させた現場のマニュアルを作る必要があります。
（２）例えば、以下の観点から、個人情報の取り扱いを見直しす必要があります。

　採用活動　　　　　　　　　　　　　　履歴書　面接で聞いたことのメモ

　ビジネス上の挨拶　　　　　　　　　　お礼状、名刺、郵便物のあて名

　お客様から預かる情報　　　　　　　　面談票、各種の資料

　お客様から書類を預かったとき　

　パソコンの運営管理方法

　お客様の業務が終わったとき　　　　　終わった案件の記録はどうやって保管するか。

　社外に書類、情報を持ち出す

　情報流出のリスクのある業務とその対策

　整理整頓

　健康診断

　入社、退社の手続　　　

２　プライバシーポリシー

（１）お客様に対し、「個人情報をどのように取り扱うか」について、どのような方法で説明するかを考えなければなりません。
（２）HPだけでなく、簡単な説明文を用意してもよいかもしれません。