個人事業主・小規模事業者がおさえたい個人情報保護法の６つのポイント・漏えい対策を解説

2022年4月1日、個人情報保護法が改正されたことをご存じですか？

実は、この改正で適用対象が個人事業主に広がり、違反すれば罰則が科されるようになりました。個人事業主も個人情報の取り扱いに注意を払う必要があります。

そこでこの記事では、個人事業主や一人社長がおさえておきたい個人情報保護法のポイントと漏えい対策をご紹介します。

個人情報保護法とは？

個人情報保護法は「個人情報の法律に関する法律」と呼ばれるもので、個人情報を適切に扱い、その人の権利やプライバシーを保護するための法律です。2005年4月に施工されました。

この法律の目的は、個人情報を取り扱う企業や組織が、その情報を適切に管理し、不正な利用や漏洩を防ぐことです。企業が個人情報を収集するときにはその目的を明確にし、許可なく他の目的で使用したり第三者に提供することはできません。

また、個人が自分の情報について知る権利や、誤った情報がある場合には訂正を求める権利など、個人の権利も保護をしています。

個人情報保護法で保護されるべき個人情報は以下のようなものが挙げられます。

個人情報保護法は３年ごとに見直しが規定されています。定期的に確認してアップデートするのがおすすめです。

個人事業主・小規模事業者がおさえたい個人情報保護法のポイント６選

個人情報保護法が2022年4月に改正され、この個人情報保護法の遵守対象は個人情報を取り扱うすべての法人・個人事業主に拡大しました。個人情報を１件でも扱っていれば対象となります。

個人事業主・小規模事業者がおさえたい個人情報保護法のポイントは以下のとおりです。

ポイント１：利用目的の明確化・利用目的による制限

個人情報を取り扱うときは、利用目的をできるだけ具体的かつ明確にしなければなりません。また、事前に決めた利用目的以外の目的で、個人情報を利用できません（個人情報保護法 第１５条、第１６条）。

ポイント２：個人情報の適正な取得・利用目的の通知・公表

虚偽の個人情報、その他の不正な手段によって取得することは禁止されています。個人情報を取得したときは、あらかじめ利用目的を公表しなければなりません。

また、本人から直接個人情報を取得するときは、あらかじめ本人に利用目的を知らせる必要があります（個人情報保護法 第１７条、第１８条）。

ポイント３：個人情報の安全管理措置・従業員や委託先の適切な監督

個人情報の漏えい、滅失、毀損を防ぐために、必要かつ適切な管理義務だけでなく、従業員に対する管理義務も定められています。個人データを他の事業者に委託する場合も同様です（個人情報保護法 第２０条～第２２条）。

ポイント４：個人情報の第三者への提供制限

あらかじめ本人の同意を得ずに、他の事業者などの第三者に個人情報を提供することは禁止されています（個人情報保護法 第２３条～第２６条）。

ポイント５：利用目的等の公表・個人情報の開示・訂正・利用停止

事業者の氏名、名称、保有個人データの理容目的、開示などに必要な手続き、苦情の申し出先について、本人に公表すべきことなどが定められています（個人情報保護法 第２７条～第３４条）。

ポイント６：苦情の処理

個人情報の取り扱いについて苦情の申し出があったときには、適切かつ迅速な処理に努める必要があります（個人情報保護法 第３５条）。

個人情報の漏えいパターン４選

個人情報の漏えいのパターンは４パターンあります。

事業形態や従業員の有無などによって漏えいリスクは異なります。ご自身の業務スタイルに応じてあらかじめ対策するのがおすすめです。

パターン１：紛失・置き忘れ

個人情報が含まれているパソコン、USB、書類を持ち出し、電車、シェアオフィス、カフェなどの出先に置き忘れるリスクがあります。

置き忘れのリスクがあるものには、重要な情報を保存しないようにしたり、暗号化してデータが盗まれた場合でも読み取れないようにするなど、リスク管理が必要です。

横浜市立みなと赤十字病院、患者情報記録のUSBメモリを紛失
受付の女性がパスポートなど1,900名の情報不正持ち出しか、東京都

パターン２：人為的なミス

人為的なミスには、メール送信時の宛先ミス、システムの誤動作・誤入力などが挙げられます。いくらミスをしないように気をつけていても、１００％防げるものではありません。

ミスが起こらないようなチェック体制やシステム構築、アクセス権限の制限をすることで、対策を講じることで予防することができます。

福岡市、誤送信で新規採用教員１２１名のメールアドレス漏えい
豊郷町職員が自治会に町民の個人情報646件を流出、選挙などに利用される

パターン３：システムの脆弱性

パソコンの使用などシステムの使用によって、ソフトウエアに入り込んだウイルスによって、情報漏えいをするパターンです。悪意を持った人が社内システムの脆弱性を突いて、ウイルスがまん延してしまうことがあります。

対策としては、ソフトウェア、OS、ネットワークを最新の状態にしたり、不正侵入を検知できるシステムの導入が検討されます。

玉川大学、通信教育用サーバー不正アクセスで学生や卒業生の情報流出
大藤つり具、ランサムウェア感染で最大20万件の情報流出

パターン４：内部の不正行為

内部の不正行為は、従業員、元従業員、業務委託先など、内部の人間が情報を漏えいするパターンです。内部の人間が企業に対して恨みを持っていたり、賄賂など金銭の授受をきっかけに、意図的に漏洩させることがあります。

東芝 研究データ流出事件
ベネッセ 個人情報流出事件

個人情報保護法に違反したときの罰則

個人情報保護法に違反した場合は罰則が科されます。罰則の対象は、企業や組織だけでなく、個人にも適用されることがあります。罰則には以下のようなものがあります。

罰則１：罰金

個人情報を不適切に取り扱ったり、法律で手続きを怠った企業や組織に対して、罰金が科されることがあります。

罰金の金額は違反の内容によって異なりますが、個人は１００万円以下の罰金、法人は１億円以下の罰金刑とされています。

罰則２：名誉棄損や損害賠償責任

個人情報の不適切な取り扱いが原因で、個人の名誉を傷つけたり、経済的な損害を与えたりした場合、民事訴訟によって損害賠償（慰謝料）の責任を負うことがあります。

罰則３：行政指導

法律違反が見られる企業や組織に対して、関連する行政機関から改善命令が出されることがあります。これには、違反状況の是正や再発防止策の実施などが含まれます。

くわしい内容は「個人情報の保護に関する法律等の一部を改正する法律（概要）」でご確認いただけます。

その他：社会的信用の失墜

罰則ではありませんが、個人情報の漏えいによって、法人・個人の社会的信用が失墜します。

知名度に関係なく、取引先との取引停止、顧客離れ、株価の下落、退職者の増加、採用難などの問題が発生します。

一度失った信用を取り戻すのは難しいです。倒産したり、倒産しないまでも経営陣の責任追及は免れないでしょう。

個人情報保護法の相談窓口

個人情報保護法の相談窓口は、個人情報保護法相談ダイヤル、PPC質問チャット、PPCビジネスサポートデスクの３つの窓口があります。それぞれの窓口の特徴について以下にまとめましたので、ご自身に合う窓口に問い合わせてみてくださいね！

相談窓口
個人情報保護法相談ダイヤル	個人情報保護法に関する総合的な案内所として、個人情報保護法の解釈や個人情報保護制度に関するご質問に回答に回答 ※平日9:30～17:30
PPC質問チャット	個人情報保護法の基本的な事項をチャットで説明するチャット ※２４時間受付
PPCビジネスサポートデスク	個人情報の適正かつ効果的な活用 新技術を使った新たなビジネスモデル等における個人情報保護法上の留意事項を相談する場合 ※予約制

個人事業主・小規模事業者ができる個人情報保護対策１０選

個人事業主、小規模事業者ができる個人情報保護対策は以下のとおりです。

小さなことの積み重ねによって、個人情報の漏えいを防ぐことができます。この他にも個人情報漏えいを防ぐ対策はありますので、ご自身の事業形態に合わせて対策をしてみてくださいね。

まとめ：個人情報保護で社会的信用を向上させよう！

この記事では、個人事業主・小規模事業者として事業をしている方に向けて、個人情報保護法の６つのポイントと漏えい対策について紹介をしました。

最後に個人情報保護法の６つのポイントを復習しましょう。

2022年4月の改正で、個人事業主や小規模事業者として事業をしている方にも個人情報保護法の順守が義務づけられるようになりました。小さな心がけで社会的信用を向上させていきましょう！