「改正個人情報保護法対応レッスン」学習内容

◆「改正個人情報保護法対応レッスン」目次 ◆

「改正個人情報保護法対応レッスン」
を、予定では今月いっぱいかけて、
以下の内容で書いていきます。

■目次■
（１）個人情報保護方針の策定
（２）個人情報の洗い出し
（３）対応のための事前学習
（４）個人情報取扱規程の策定
（５）漏洩時の対応
（６）安全管理措置

実際の対応について、
これらはどれも重要で、
重要度や優先度は、
すべて「高」です。

では、順番はというと、
同時が一番ですね＾＾；

でもさすがに一瞬で実施するのは
難しいですから、
あえて、流れのシナリオを考えると
上のような順番かなと思います。
一般的なものとは違うかと思いますが
いろんな現実的なことを勘案すると、
このようになります。

まずは、概要をお話します。

何よりもまず、
「個人情報保護方針」を策定しましょう。
多くの事業者さんは、Webサイトに掲載されて
いると思います。
そうだとしても、まずはそこからです。
まだ作成されていない皆さんはここからです。
なぜここからか、ということもお話します。

次に、
自社で取り扱っている「個人情報の洗い出し」。
これで結構大変な作業となります。
しかも、そのためにまずは個人情報って何？
ということも明確でないといけません。

そして、社内ルールを作ることになりますが、
その前に、責任者や担当者がちゃんと勉強を
してからでないといけません。

さらに、何かあったときに対応も想定しておく
ことが必要です。これをしておくことによって
かなり現実感がでてきます。

あわせて、
日々、PCやネットワークを利用している事業者は
最低限の情報セキュリティの知識と最低限の対策
を施る必要があります。
やろうと思えばいくらでも深い世界ですが、
だから何もしないということではいけません。
最低限の対応と維持が必要です。

結局、ちょっと重たい感じがしてきますが、
でも、机上の理想ではなく、
現実的な視点で進めていきますので、
ぜひご対応されてください。

「改正個人情報保護法対応レッスン」

◆「改正個人情報保護法対応レッスン」をスタートします◆

すでに今年5月30日から
中小企業や小規模な店舗・ショップなども
対象となっている改正個人情報保護法。

しっかり対応されている皆さんも
おられると思いますが、
「よくわからない」
「結局、何をすればよいの？」
という皆さんも多くおられると思います。

できるだけシンプルにお伝えしようと思い、
これだけは最低必要だなぁと思うものだけ
にそぎ落とそうとしましたが、
結局、これだけが残りました。

7月の平日はこのあと15日あります。
今月いっぱいかけて、
必要内容の掲示ではなく、
読んでいくと自然に、
学んでいただけるように書いていきたいと
思います。

ぜひご参考にされつつ、
しっかり学んでいただければと思います。

題して、
「改正個人情報保護法対応レッスン」
略して
「個情法対応レッスン」

ご期待いただければと思います。
よろしくお願いいたします。

責任者の作り方

中小規模事業者の個人情報保護対応として
まずは責任者を明確にするということを
書きました。
http://kojinjohohogoho.blogspot.jp/2017/07/blog-post_5.html

そして、誰が適任かというと、
「個人情報保護のことをよく理解している
 取締役」
であるとお伝えしました。
http://kojinjohohogoho.blogspot.jp/2017/07/blog-post_6.html

そんなのがいれば理想的だ、
ということかも知れませんが、
であれば、その理想を求めましょう♪

「個人情報保護のことをよく理解している」
と「取締役」
どっちが大事かというと、
両方です＾＾；

でも、一般社員が取締役には、
そう簡単には任命できません。
ということでは、
取締役が、
個人情報保護のことをよく理解する
しかないですね。

はい。
これをお読みいただいている皆さんが
取締役、つまり経営メンバーなら、
あなたが、責任者として立候補し、
個人情報保護のことをよく理解しましょう。

もし経営メンバーでないなら、
あなたの属する組織の上司か、
あなたがが思う適任者を選び
個人情報保護のことをよく理解して
いただきましょう。

いずれにしても、
ここを読んでいただければ、
個人情報保護のことがよく理解できるように
なります。

それらの皆さんがよく理解できるように
書き進めて行きます。

あとで考える、ではなくて、
いま考えて、すぐに行動してくださいね。

個人情報保護責任者として最適なのは誰？

さて、小規模事業者においては、
まずは責任者を明確にしましょう、
ということでしたが、

では責任者は誰？

そりゃ社長でしょう、
いやいや管理部長だろう、
それなら情報セキュリティに詳しい主任か、
など、たらい回しになりそうです＾＾；

そこがまず問題です。

よし自分が！
という人が複数現れるような組織でないと
なかなか漏洩事故はなくなりませんし、
お客様からの信頼を維持できません。

とはいっても、
そんな理想めいたこと、
無理だよなぁと思われる企業も
少なくないかと思います。

でも、単なる理想ではありません。
実際、複数の企業がそうなりました。
しっかりとした教育とコンサルをすれば
可能なんです。
ここは宣伝ぽくなるので、
興味のある皆様にだけお伝えすることにして
話を戻します。

責任者として最適なのは誰か？
それは、
「個人情報保護のことをよく理解している
 取締役」です。

もちろん代表取締役でもよいです。

さてそれはあなたですか？
あなたの会社にいますか？

中小規模事業者がまず最初にすべきこと

改正個人情報保護法での
小規模事業者への緩和措置については、
以下のように書かれています。

政府の基本方針で、
「個人情報取扱事業者等が講ずべき
 個人情報の保護のための措置に関する
 基本的な事項」として、

『個人情報の保護及び適正かつ効果的な活用
 について主体的に取り組むことが期待されて
 いるところであり、体制の整備等に積極的に
 取り組んでいくことが求められている。
 その際、事業の規模及び性質、個人データの
 取扱状況等に応じて、各事業者において適切な
 取組が実施されることが重要である。』
と書かれています。

そして、
「個人情報保護委員会のガイドライン（通則編）」
の「（別添）講ずべき安全管理措置の内容」
において、

『具体的に講じなければならない措置や
 実践するための手法例等』が示されていて、
そこで、個人情報取扱事業者が講ずべき
安全管理措置とともに、中小規模企業では
『取り扱う個人データの数量』や、
『個人データを取り扱う従業者数』
が少ないことなどを踏まえ、
『円滑にその義務履行し得るような手法の例』
が示されています。

いろいろ書いてありますが、
何より重要であり、第一歩目にすべきことは
「個人データを取り扱う従業者が複数いる場合、
 責任ある立場の者とその他を区分する」
でしょう。

「従業者」とは、社員だけでなく、
経営者や他の役員、さらにアルバイト等も
含みますので、個人データを取り扱う従業者が
複数いるという条件は、個人事業主以外は、
実質的にはすべての企業や団体が該当するでしょう。

つまり、重要なことは、
「責任者を明確にしなさい」
ということです。

全員役員の少人数企業などでは、
全員が責任者という状況があるかも
知れませんが、
個人情報保護に関しては、
それでも、責任者を決めましょう、
ということです。

事業規模に応じたリスク管理が求められています

改正個人情報保護法で、
新たに対象となった小規模事業者に対して、
特別な配慮がなされています。

個人情報保護委員会のガイドラインに
「事業が円滑に行われるよう配慮する」
と書かれています。

もともと、政府の基本方針の中で、
「事業規模に応じた対応をすること」
と書かれており、
法律としては、一律の規定を課しているが
その対応レベルは、各社によって
その事業規模に応じて検討せよ
ということです。

事業規模とは、
企業の規模だけでなく、
取り扱う個人情報の数や、
それらが漏洩した際の影響などのこと
をいいます。

社員数が数千人という会社でも、
顧客情報はほとんど取り扱わない
という会社や、
数名の会社ながら、何万人という
顧客情報や、センシティブ情報を
取り扱うという会社もあるでしょう。

「事業規模」による勘案の際は、
まずは、自社が取り扱っている
個人情報や、今回定義された
要配慮個人情報をどれだけの規模で
取り扱っているかを洗い出すことが
大事であることもここでわかります。

これらは、
一般的な「リスク管理」と同様なので
その一環や一部として作業することが
好ましいと考えられます。

中小規模事業者には緩和措置が、でも・・

本日より正式にこちらで書いていきます。
よろしくお願いいたします。

2003年に公布された個人情報保護法は、
過去6ヶ月以内に取り扱う個人情報が
5,000件を超えない事業者は、
義務規定の対象からはずされていました。

2017年5月30日に全面施行された
改正個人情報保護法では
その措置がなくなり、
中小企業や自治会や同窓会などを含めて、
実質すべての事業者が
義務を負うことになりました。

しかし、個人情報保護委員会が作成した
「個人情報保護法ガイドライン（通則編）」
において、
「中小規模事業者」は、
安全管理措置について、特例的に
緩和された内容の対応が許容されています。

安全管理措置とは、
事業者が実質的に対応すべき内容ともいえる
とても重要なことです。

そして「中小規模事業者」とは、
従業員数が100人以下の個人情報取扱事業者で、
①以前から対象外ではなかった、取り扱う
個人情報の数が過去6ヶ月以内に5,000を超える者
と、
②委託を受けて個人データを取り扱う者
以外のことを指します。

これはマイナンバー法と同様です。

つまり、
改正前まで、この除外規定にあてはまっていた
中小規模事業者は、安全管理措置については、
委員会のガイドラインに示されているとおりの
緩和措置レベルで対応すればよい、
ということになります。

というのが、一般的なよくある説明。


では、現実的にどう対応すればよいのか
というと、

結局、ガイドラインをしっかり読まないと
いけないわけです。
そして、緩和内容に関しても、
何となく、引き算的な記載がされているように
思えますので、実質的には、
本来求められている対応内容を理解した上で、
中小だからこの程度でよいのだ、
という理解をしないと、
結局、わかりにくいように思います。

そのあたりも考慮して、
できるだけわかりやすいように
ボチボチ書いて行こうと思います。