個人情報保護法
個人情報保護法の概要
個人情報保護法は、個人情報を取り扱うすべての事業者に適用される法律です。2022年4月の改正により中小企業にも適用範囲が拡大され、ひとり情シスも法的義務を正しく理解しておく必要があります。違反した場合、罰則(最大1億円の罰金)が科される可能性もあります。
個人情報の定義
個人情報とは、生存する個人に関する情報で、特定の個人を識別できるものを指します。
- 氏名:単独で個人情報に該当
- メールアドレス:氏名を含む場合は個人情報(例:tanaka@example.com)
- 個人識別符号:マイナンバー、パスポート番号、指紋データ等
- 要配慮個人情報:人種、信条、病歴、犯罪歴等(取得に本人同意が必要)
顧客情報だけでなく、従業員情報も個人情報であることを忘れないようにしましょう。
安全管理措置
個人情報を取り扱う事業者は、以下の安全管理措置を講じる義務があります。
| 措置の種類 | 内容 | 具体例 |
|---|---|---|
| 組織的安全管理措置 | 体制の整備、規程の策定 | 責任者の設置、取扱規程の策定 |
| 人的安全管理措置 | 従業員の教育・監督 | 定期的な研修、秘密保持契約 |
| 物理的安全管理措置 | 入退室管理、機器の保護 | 施錠管理、のぞき見防止 |
| 技術的安全管理措置 | アクセス制御、暗号化 | 権限設定、通信暗号化、ログ取得 |
漏えい時の対応義務
2022年4月以降、個人情報の漏えいが発生した場合の報告義務が法的に強化されました。
- 速報:漏えいを知った日から3〜5日以内に個人情報保護委員会に報告
- 確報:漏えいを知った日から30日以内(不正アクセスの場合は60日以内)に詳細報告
- 本人通知:漏えいの事実と対応について本人に速やかに通知
報告義務があるのは以下のいずれかに該当する場合です。
- 要配慮個人情報が含まれる漏えい
- 不正利用により財産的被害が生じるおそれがある漏えい
- 不正アクセスによる漏えい
- 1,000人を超える漏えい
プライバシーマーク
プライバシーマーク(Pマーク)は、個人情報の取り扱いが適切であることを第三者機関が認証する制度です。
- 取引先からの信頼性向上、入札条件を満たすために取得する企業が多い
- JIS Q 15001に基づくPMS(個人情報保護マネジメントシステム)の構築が必要
- 取得費用は30万〜100万円程度、2年ごとの更新審査あり
- ひとり情シスが事務局として対応するケースが多い
法令遵守は最低限の義務です。「何を個人情報として扱っているか」「どこに保管しているか」「誰がアクセスできるか」を常に把握し、個人情報の棚卸しを定期的に実施しましょう。
✅ 完了済み