変わる「個人情報保護法」、改正内容と注意点は?

 「個人情報保護法」をご存知だろうか?簡単に言えば、EC店舗が日々取り扱う顧客情報や病院等でカルテに記載されている患者情報をはじめとするビジネスシーンで登場するあらゆる個人情報を適切に管理し、ユーザーのプライバシーを守ろうという法律だ。この「個人情報保護法」は来年、2017年1月に改正が行われ、法の対象が拡大することとなった。

 プライバシーマークの取得支援を行う株式会社ユーピーエフ(以下、ユーピーエフ) 代表取締役 仲手川社長に、改めて個人情報管理の重要性、注意点を伺った。

 また、EC運営に関わる法律問題についてアンダーソン・毛利・友常法律事務所 木川和広弁護士に解説コラムを執筆いただいています。バックナンバーはこちらをご覧ください。→ https://www.ecnomikata.com/knowhow/detail.php?id=13114

対象事業者拡大へ、必要な対策とは?

 インターネットをはじめとする日常のあらゆる場面で、個人情報が求められるようになっている。その一方で、大手企業等からの個人情報の流出など個人情報の不適切な管理による問題も聞かれるのが現状だ。個人情報漏えい被害に遭った場合、クレジットカードが不正に利用されたり、迷惑メールが届く、犯罪被害に遭う可能性が高まる等が考えられる。こういったことがないよう、個人情報を取り扱う企業に適切な管理を求める法律が、「個人情報保護法」である。

個人情報保護法とは?
 個人情報保護法とは、個人情報を取扱う民間事業者に対して個人情報の適切な取扱いを求める法律のこと。現在は、5000以上の個人情報を個人情報データベースなどとして所持・事業に利用している「個人情報取扱事業者」として対象としており、違反した場合には刑事罰が科されることになっている。

 個人情報取扱事業者は、例えば、「業務に使用するPCの持ち出しに関するルールを明確にする」ことや「1年に1度従業員向けに個人情報保護に関する教育を行う」こと、「どのような個人情報を保持しているのか把握するためのチェックリストを持つ」ことなどが求められる。

2017年1月の改正では何が変わる?
 2017年1月、パーソナルデータの利用促進のために、まず個人情報の定義を明確にして、個人情報として取扱うか曖昧なグレーゾーンの問題に対応すること等を目的に、個人情報保護法の改正が行われることになっている。

 影響の大きな変化としては「小規模取扱事業者の適応除外の廃止」がある。これは、先にあげた5000件以下の個人情報しか取り扱っていない小規模事業者への適応除外を廃止し、1件でも個人情報を取扱う事業者は全て個人情報保護法の対象となることを意味する。つまり今回の改正は、個人情報保護の強化にあたるのだ。

≪個人情報保護法の審議・施行スケジュール≫
 2015年3月10日 閣議決定
 2015年9月9日 衆参可決
 2015年9月9日 公布
 2016年1月1日 法の所轄が消費者庁から個人情報保護委員会に移管
 経過措置の施行 公布から1年6か月以内
 全面公布    2年以内

なぜ個人情報保護が注目を集めているのか?
 個人情報保護法改正には大きく2つの背景があるだろう。まずビックデータを活用したサービスが進む中、パーソナルデータの利活用に曖昧さが生じていること。もう1つは、「大手企業からの個人情報流出により個人情報の取扱いの懸念が増加していること」や「マイナンバー制度の開始」等をきっかけに、個人情報の適切な取扱いを求める声が高まっていることだ。こうした背景を受け、個人情報に関する曖昧さを排除する改正となっている。

EC店舗に求められる対応は?
 購入にあたり、必ず個人情報が必要となるEC店舗では、情報漏えいが起こらないよう慎重な対応が求められる。万が一、情報漏えいが起こってしまった場合には、その対応や保証に多額の損害が発生するのに加え、EC店舗の信頼も落とすことになる。1度の漏えい事故が引き起こす損失は計り知れないのだ。

 一方で、個人情報の適切な管理を求める消費者に対して、適切な管理を行っていることをアピールし安心感を与えるなどといった対応も必要となってくるだろう。例えば決済情報入力ページ、注文情報入力ページにおけるSSL対応が思い当たる。SSL対応をしていないEC店舗はほとんど存在しないだろうが、個人情報を不正アクセスから守るという観点で非常に重要なものだ。
 SSL対応についてはこちらをご覧ください→ https://goo.gl/mP5FWa

 また、情報管理状況の適正を示すため「Pマーク(プライバシーマーク)」を取得、Webサイトや各種書類などに表記する企業も多くなっている。このような対応は個人情報を適切に管理する上で重要なものであると同時に、個人情報を適切に管理しているというブランディングの意味合いを持たせることも可能だ。

適切な管理の証、「プライバシーマーク」

Pマークとは?
 「プライバシーマーク制度」とは通商産業省のガイドラインに適合した「個人情報」の取り扱いができていることを第三者の立場で評価して認定するもののことを言い、認定の証として使用するロゴマークを「Pマーク(プライバシーマーク)」と呼んでいる。Webサイトや各種書類、名刺などにPマークを表記することで、その企業や団体の社会的信用への動機付け、また従業員への意識付けのきっかけとなるため、多くの企業や団体に導入されており、すでに1万社を超える企業や団体などの「事業者」がプライバシーマークの付与認定を受けている。
 
Pマークのメリットとは?
 できるだけ個人情報を危険に晒さず生活したいと考えるユーザーが増える一方で、EC店舗での買い物には、住所やクレジットカード番号など様々な情報入力が必須である。 EC店舗がPマークを取得するメリットは、個人情報を適切に管理している企業であるとアピールし、ユーザーに安心感を与えられることにある。

Pマークの取得方法
 プライバシーマーク制度は、一般社団法人日本情報経済社会推進協会(JIPDEC)によって運営されている。Pマーク付与のための審査は「日本工業規格(JIS)」の考え方に沿って行われており、ガイドライン等を参考に社内環境を整えて審査に臨む必要がある。仲手川社長によれば、細かなルールも多いため、Pマーク取得支援コンサルティング会社へ取得支援を丸ごと依頼したほうが、結果としてスムーズにコストをかけずに済む場合が多いそう。

 今回の個人情報保護法の改正により、Pマーク取得のニーズは高まっており、準備をはじめてから取得完了まで数か月かかる場合もあるといい、早めの対応が求められる。この動きを受け、ユーピーエフでは、月額1万円~の分割払いで提供するサービスもリリース、積極的にPマーク取得の支援を行う姿勢だ。

ユーザー意識の高まりと共に管理体制強化を

 個人情報保護法の改正やPマークなど制度面について見てきたが、何より重要なのは、個人情報の管理についてユーザーの関心が非常に高まっている現状を把握することではないだろうか。仲手川さんは「ルールを守るか否か、罰則があるかないかという問題ではなく、個人情報を適切に管理するのは当然のこと。ユーザーの意識が高まっているなか、対応を軽んじていると取り返しのつかない大惨事になる危険性もあり、また問い合わせ数に影響しチャンスを逃している可能性も大いにあります。」と力を込めて語る。

 個人情報の管理が売上に直結することは、少ないかもしれない。しかしユーザーの情報を取扱う店舗として、個人情報の適切な管理は果たすべき責任と言えるだろう。ネットショップに、個人情報に対しての意識がどれだけあるだろう。時代の進歩と共に、ネット通販がごく当たり前の日常になっている一方で、個人情報に対する危険も高まっているのも事実。今一度、ネットショップ自身のその意識を確認する時期にしたいものだ。敷居の低いネット通販ではあるが、やる以上は、リアルと同じくらいの高い意識を持たなければいけなくなっている。

こちらも合わせてご覧ください。
【法律解説コラム】これだけはおさえておきたいECの法律問題(アンダーソン・毛利・友常法律事務所 木川 和広 著)