弊社メールマガジンで配信した「コンサルタントのつぶやき」です。
IT利活用のトレンドやお役立ち情報をメールマガジンでお届けしています。
私の知人に、保育園の設立を考えている方がいます。
設立前に、入園・退園手続きの内容、保護者への日々の連絡内容と方法、運動会の撮影費用について、意見を求められました。
話を進めていくうちに、個人情報保護法に対する理解が不十分であることが分かり、アドバイスをしました。
具体的な問題点は以下の通りです。
①園児の氏名、保護者の氏名・電話番号等を取得する予定であるが、利用目的を明確にしていなかったこと。
②園児の生活をスマートフォンで撮影する予定であるが、園児の退園時に写真を削除するルールが存在していなかったこと。
③運動会の撮影と園児の氏名が入ったアルバム作りを委託する予定であるが、保護者の同意を得ずに園児の氏名を委託先に提供する予定だったこと。
①は「個人情報の利用目的を定義する」、②は「個人情報を利用する必要がなくなったら消去する」、③は「本人の同意を得ずに個人情報を第三者に提供してはならない」という個人情報保護法で定義されている義務に違反します。
さらに、②は安全管理措置の観点から、スマートフォンの管理について、考慮が必要です。
②や③は、知人としては、サービス利用者である保護者の満足度を上げるために考えた施策ですが、個人情報の取り扱いについては考慮不足であった、ということです。
私の知人は、個人情報の取り扱いについて再考することができましたが、皆様はいかがでしょうか。
個人情報保護法の改正を振り返ると、これまでに2017年と2022年に大きな変更が行われています。
2022年の改正については、弊社コラム「法改正の対応、適切にできていますか?」を参照ください。
いくつかポイントはありますが、「漏洩等発生時に事業者から個人情報保護委員会への報告および本人通知が義務化された」ことが企業への影響が大きい変更だと私は考えます。
また、2017年の改正では、取り扱う個人情報の数の下限が撤廃されました。
つまり、個人情報を取り扱う全ての企業は、個人情報保護法が定めている義務を遂行する必要があります。
なお、個人情報保護法の対象は、「個人情報データベース等を事業の用に供している者」と定義されていますが、デジタルに管理していることが前提ではありません。
個人情報データベース等とは、検索できるように体系的に構成した個人情報を含む情報の複合物と定義されており、例えば、五十音順に整理された紙の名簿のようなアナログ情報も該当します。
また、デジタル情報についても、高度なシステムに組み込まれている必要もないため、氏名と電話番号が登録されているスマートフォンの電話帳も該当します。
個人情報保護法の理解や自社の取り組みをチェックする有力なツールとして、政府広報オンラインの「これだけは知ってほしい個人情報保護10のチェックポイント(中小企業編)」や個人情報保護委員会の「自己点検チェックリスト」などがあります。
前者は6分弱の動画、後者は17のチェックリストで構成されています。
是非、上記のツールを活用し、個人情報を取り扱う場合の義務を押さえ、新規事業の立ち上げなどに活かしてください。
<出典>
政府広報オンライン これだけは知ってほしい個人情報保護10のチェックポイント(中小企業編)
https://www.gov-online.go.jp/prg/prg24647.html
個人情報保護委員会 法令・ガイドライン等
https://www.ppc.go.jp/personalinfo/legal/
2024年01月15日 (月)
青山システムコンサルティング株式会社
久保田一樹