中小企業に必要な個人情報保護について
- 2018/11/1
- 診断士の視点
1.個人情報保護法改正と中小企業
平成29年5月に個人情報保護法が改定され、「個人情報保有件数5千人以下」の事業者まで範囲が広がり、実質全ての事業者が対象になることとなりました。確かにITの進展により、企業の大小を問わず個人情報の取得・拡散も容易となり、またその結果起こりうる被害も拡大している中、情報漏えいによる影響は元の企業の大小を問わなくなっていることは事実です。
一方で中小企業の経営者の多くは、個人情報保護と言われても何から始めればいいのかわからないことが普通でしょう。
例えば個人情報保護法では、個人情報を得る時は利用目的を通知することを求めています。一方で個人情報とは個人を特定しうる情報を指し、例えば「株式会社X製作所のY部長」だけでも、今日であればネットで連絡先を特定できるし、電話もかけられます。つまり名刺一枚でも、立派な個人情報です。
では名刺を交換する際に、一々「私はこの名刺を××のためだけに使用し、他には使用しません」と断らねばならないかと言えば、それはさすがにありません。名刺の授受はビジネス上の連絡先を把握するためのものであることは、社会通念上確立されているからです。
一方で、名刺の印刷を行う印刷業の場合どうでしょうか。名刺を印刷するということは、顧客の社員名や連絡先(携帯電話やメールアドレスも含め)を知ることにつながります。そうなれば「個人情報保護ができていない印刷会社には、怖くて発注できない」ということになりかねません。
たとえ中小企業であっても、「個人情報を扱うことが業務の一部」となっている企業には、相応の対策が求められます。
思いつくままに書けば、不動産業者であれば「個人の住む場所に関する事業」ですし、旅行業者や宿泊業者にしても、個人情報をいやおうなく把握することになります。学習塾であればご両親にとり何より大切な、お子さんに関する個人情報を扱うことになり、運送業者も荷主にしろ届け先にしろ、何かしら個人情報に関わります。他にも介護なり、多くの事業が該当します。
小売り・サービス業でも、顧客カードを作成していたり、メールマガジンで顧客に情報を発信したり、ネットショップや自社サイトで通販を行っていれば、やはり個人情報の扱いは業務の一部ということになります。
このような場合、個人情報保護法の改正があろうとなかろうと、「個人情報を取り扱っているのに、管理は不十分ではないか」と思われては、事業そのものの成立に関わってきます。
2.中小企業の取るべき対策
それではそのような企業は、どう対応すべきでしょうか。
先ずできることを、確実にやる必要があります。その上で必要であれば、プライバシーマーク等の公的認証取得に至ることもありうるでしょう。
第一歩としては上に述べた通り、「事業存続には個人情報保護は必須」であると、明白に打ち出すことが求められます。その上で具体的には、以下のような施策を実施してきます。
- 個人情報保護の重要性につき、自社の方針を周知するとともに、従業員に注意を喚起
基本的には個人情報保護方針を策定し、そこに個人情報の利用目的まで含め記載し、自社サイトがあればそこに掲載することも必要です。
- 個人情報を取り扱うエリアとそこへの立ち入りの限定
不動産業者であれば入口のカウンダー部分に不意の来客があることはいいとして、顧客の個人情報は奥の事務所に置き、絶対に来客の目に触れないようにすることが鉄則であることは、書くまでもないでしょうが、他の事業者も同様に容易に第三者の目に触れない対応が必要になります。
仮に業務の必要上事務所内に来客が立ち入る場合には、必ず受付カードに記載してもらう(心理的な抑止の効果を期待します)等配慮をしていきましょう。
- 個人情報の記載されている書式の取り扱いの徹底
名刺1枚やはがき1枚でも個人情報になります。廃棄する際にも、ゴミ箱でなくシュレッダーにかけることなどが必要です。
- メールに添付するデータのパスワード化
例えば顧客のリストを運送会社にメールで送る等の場合には、必ずデータにはパスワードをかける。そしてそのパスワードは別メールで送ることが基本です。
- 普通郵便は避ける
従業員の年末調整関連書類等、個人情報の含まれる書類を送る場合、普通郵便は避け、簡易書留やレターパックライト等、追跡のできる手段を選びましょう。
- 業務終了後最終退出者の施錠チェック
事務所から最後に帰宅する社員は、施錠のチェックを必ず実施。できればリスト等記録につけることで、意識の向上を図ります。
- パソコンの管理
ウィルス対策のソフトウェアは必ずインストールする。パスワードもかける。帰宅時にはキャビネットに入れ施錠するか、持ち運ぶとしても手元から離さず万一の置き引きや車上狙いなどは絶対に避ける、等を心がけましょう。
これらの対策により「大切な個人情報保護を扱う以上、当社としても極力の配慮はしています」ということが可能になります。
直接個人情報を扱う機会がほとんどない、例えば製造業のような中小企業でも、上記は個人情報保護のための基本動作と認識していただき、できることからでも取り組んでいただければと存じます。