いつものようにFeedlyを見ていたら政府広告が挟まっていた。個人情報保護法が変わるのだそうだ。もしかしたらニュースを見た記憶があるのかもしれないのだが、元来ぼーっとしたタチなのであまり意識していなかった。
ポイントは2つで、5000名以下の名簿も保護の対象になるということと、匿名化した個人情報の活用ができるようになるという点だ。後者はこれまでは統計データなら利用はできていたのだが、今後は統計処理しなくても個人の購買履歴や移動履歴などを活用できるということになる。活用というとよくわからないが、ぶっちゃけ「定期券を持っている人がどこからどこまで移動したか」という個人単位のデータを売り買いできるということである。マーケティングデータとしてはかなり貴重なものなので需要は高いだろうが、自分の購買履歴や行動履歴を勝手に売り買いされるというのはどうも「面白くないなあ」という気がする。こうした議論を恐れてか、広報ページの書き方は「公益」を全面に押し出した書き方になっている。
が、意外と見落とされそうなのが「5000名以下の名簿」の方である。タイトル立ては「5000名以下の個人情報を扱う事業者」となっているので、一般の人たちには関係なさそうだが、広報ページには次のようにある。
例えば、これまでは大勢の従業員を抱える企業や大量の個人情報を事業に利用していた企業などが個人情報保護法の主な対象でしたが、これからは中小企業や個人事業主も対象になります。また、個人情報を利用する事業が営利か非営利かは問われないため、町内会・自治会、学校の同窓会などにも、個人情報を取り扱う際のルールが義務づけられることになります。
つまり、自治会の役員を引き受けて名簿を作ったら「事業者扱い」されてしまうのだ。注意しなければならないことはいくつもあるが、管理にはこのような決まりが課せられる。
取得した個人情報は漏洩などが生じないように、安全に管理しなければなりません。
- 紙の個人情報は鍵のかかる引き出しで保管する
- パソコンの個人情報ファイルにはパスワードを設定する
- 個人情報を扱うパソコンにはウイルス対策ソフトを入れる
など
Excelのパスワードの設定の仕方がわからなかったり、ウィルス対応ソフトが入っていなかったりすると、漏洩した時に「注意義務違反」になる可能性があるのだ。具体的には次のようなアドバイスがあるという。名簿を集める時に「親睦と連絡のために使いますよ」などということを明示した上で、了解を得る必要があるということだ。
そのため、同窓会名簿や自治会名簿を作成する場合には、①利用目的の特定(改正法第15条)、②利用目的による制限(改正法第16条)、③適正な取得(改正法第17条)、④取得に際しての利用目的の通知等(改正法第18条)、⑤第三者提供の制限(改正法第23条)等の個人情報取扱事業者としての義務を遵守する必要があります。これらの義務を遵守しているのであれば、従前と同様に名簿を作成することはできます。
なお、名簿を配布する先の会員が個人である場合には、個人情報保護法の適用はありませんが、会員に対して、名簿の紛失や転売をしないように注意喚起をすることが大切です。
もちろん、注意義務違反で直ちに逮捕されるということはない。しかし、注意義務違反が見つかった後で、監督官庁(個人情報保護委員会)の命令に従わなかったりして悪質性が認定されると、最終的には六ヶ月以下の懲役(または30万円以下の罰金)まで行くことがあるということになるようだ。逆に「いい加減な管理をしたから情報が漏れた」などというクレームも監督官庁へ報告することになるという。だが、現行法下で罰則を受けた事例はないとのことである。また、名簿が漏洩して、経済的な損出が出た時にも民事上賠償の責任が出てくることになる。
難しいことはわからないからパソコンでの名簿管理はやめようとする人たちもでてくるだろうが、そうなると手書きということになるので、あまり現時的とは言えない。今のうちに名簿管理ソフトのパスワード設定方法とか、ウィルス管理ソフトの勉強をしておくべきだろう。現在集めている名簿については取り直しは必要ないとのことだが、新しく取る名簿は適用対象になるということなので、五月末以降は運用に気をつけたい。